路由器操作系统曝安全漏洞 允许攻击者执行任意代码

来自安全公司Core Security的安全专家已经披露了一个缓冲区溢出漏洞的详细信息，该漏洞影响了运行MikroTik RouterOS 6.41.3/6.42rc27之前版本的所有体系结构和所有设备。

MikroTik成立于1995年，总部位于拉脱维亚首都里加，主要从事开发路由器和无线ISP系统，其生产的产品目前已经遍布全世界各地。该公司开发的RouterOS是一套基于Linux v3.3.5内核的路由操作系统，能够将标准的PC电脑变成专业路由器。

该漏洞被追踪为CNNVD-201803-658（CVE-2018-7445），有权访问MikroTik RouterOS SMB服务的远程攻击者可以利用该漏洞在系统上执行任意代码。

Core Security公司在其发布的公告中写道：“在处理NetBIOS会话请求消息时，MikroTik RouterOS SMB服务中发现缓冲区溢出。有权访问该服务的远程攻击者可利用此漏洞，并在系统上获得代码执行权。溢出发生在身份验证发生之前，因此未经身份验证的远程攻击者可能利用该溢出。”

与此同时，公告中还发布了与MikroTik的 x86 Cloud Hosted Router（CHR）配合使用的概念验证代码。

而就在几天前，卡巴斯基实验室的安全专家宣布已经发现了一个新的APT组织。该组织至少从2012年起就已经开始活跃，并使用一款被称为“Slingshot”的恶意软件将中东和非洲国家的计算机用户作为了攻击目标。受感染的计算机主要分布于肯尼亚、也门、阿富汗、利比亚、刚果、约旦、土耳其、伊拉克、苏丹、索马里和坦桑尼亚。肯尼亚和也门成为了受影响最严重的地区，大多数受害者是个人而非企业，也包括少数政府组织。

根据卡巴斯基实验室安全专家的说法，这个APT组织正是利用了Mikrotik路由器中的零日漏洞CNNVD-200710-435（CVE-2007-5633）、CNNVD-201004-476（CVE-2010-1592）和CNNVD-200903-258（CVE-2009-0824）将间谍软件植入到了受害者的计算机中。

目前没有谁能够确定该APT组织是否也会利用CNNVD-201803-658（CVE-2018-7445）漏洞来开展攻击活动，但既然该漏洞已经被发现且概念验证代码也已经被公布，那么各位用户就有必要将自己所使用的RouterOS升级到版本6.41.3以避免潜在的攻击风险。另外，如果用户由于某些原因无法安装更新，那么我们建议用户可以通过禁用SMB服务来缓解这个问题。

来源：黑客视界