Tenable ブログ
ブログ通知を受信するTenable Researchアドバイザリー:MikroTikのRouterOSで複数の脆弱性が発見
Tenable Researchは、MikroTikルータで使用されているオペレーティングシステムであるRouterOSの脆弱性を複数発見しました。その中で最も深刻なのは攻撃者が潜在的に完全なシステムアクセスを得ることを可能にする脆弱性です。
Tenable Researchは、MikroTikルータで使用されているオペレーティングシステムであるRouterOSの脆弱性を複数発見しました。 この脆弱性を発見したテナブルの研究者であるJacob Baines氏は、10月7日にDerbyconで「Bug Hunting in RouterOS(RouterOSでのバグハンティング)」 というトークを発表しました。これには、認証されたリモートコード実行(RCE)の脆弱性(CVE-2018-1156)、ファイルアップロードによるメモリ枯渇の脆弱性(CVE-2018-1157)、wwwメモリ破損(CVE-2018-1159)の脆弱性、再帰的な解析スタックによるリソース枯渇の脆弱性(CVE-2018-1158)が含まれています。これらの脆弱性の中で最も深刻なのは、認証されたRCEの脆弱性であり、攻撃者は潜在的に完全なシステムアクセスを得ることができます。これらは、x86 ISOを使用してRouterOS 6.42.3(リリース日:2018年5月25日)に対して試験されました。
- 知る必要があることTenable Researchは、MikroTikルータで使用されている独自のオペレーティングシステムであるRouterOSの複数の脆弱性を発見しました。この脆弱性には、認証されたRCEの脆弱性、ファイルアップロードメモリの枯渇の脆弱性、再帰的な解析スタックの枯渇の脆弱性などがあります。
- 攻撃ベクトル 攻撃者は、これらの脆弱性を悪用するために頻繁に変更されない既定の資格情報をルータで使用する可能性があります。
- ビジネスに対する影響 認証されたRCEの脆弱性は、攻撃者に完全なシステムアクセスを許可して、トラフィックを迂回させたり経路を変更したり、ルータを使用する内部システムへのアクセスを許可します。
- 解決策 MikroTikは、これらの脆弱性に対処するためにRouterOSバージョン6.40.9、6.4.7および6.43をリリースしました。
背景
RouterOSは、ボーダーゲートウェイプロトコル(BGP)、IPv6、OSPF(Open Shortest Path First)、MPLS(Multiprotocol Label Switching)など、インターネットサービスプロバイダ(ISP)が通常使用する機能を実装するLinuxカーネルをベースにしたオペレーティングシステムです。MikroTikとそのユーザーコミュニティがサポートするRouterOSは、多様な設定例を提供します。RouterOSはMikroTikのRouterBOARD製品ラインに組み込まれており、一般的に遠隔地にブロードバンドアクセスを提供する中小規模のインターネットアクセスプロバイダーに焦点を当てています。MikroTikはラトビアのリガに本社を置いています。
Shodanの分析に基づくと、世界中に数十万のMikrotikが導入されていて、ブラジル、インドネシア、中国、ロシア、インドには集中しています。 2018年10月3日現在、約35,000〜40,000台のデバイスに、更新されたパッチが適用されたバージョンが使用されています。
分析
これらの脆弱性はすべて、認証(本質的に正当な資格情報)を必要とします。認証されたRCEの脆弱性(CVE-2018-1156)がデフォルトの資格情報を持つルータに対して悪用されると、攻撃者は潜在的に完全なシステムアクセスを得ることができ、トラフィックを迂回して経路を変更し、ルータを使用する内部システムにアクセスできます。
メディアで大規模の報道された最近のVPNFilterマルウェアでは、MikroTikルータはロシアの脅威グループ(APT28 / Sofacy / FancyBear)によって侵害されたと特定されました。VPNFilterは、ユーザーが頻繁に変更しないままにする工場出荷時のデバイスの既定の資格情報、標準のユーザー名とパスワードを標的にすると報告されています。VPNFilterが悪用している実際の脆弱性は完全に把握されていません。レポートにはゼロデイを使用していないと記載されていますが、この脆弱性は有効な攻撃経路となる可能性があります。
概念実証
licupgrバイナリには、認証されたユーザーがスタックバッファのオーバーフローを引き起こすために使用できるsprintfがあります。sprintfは次の文字列で使用されています。
GET /ssl_conn.php?usrname=%s&passwd=%s&softid=%s&level=%d&pay_typ'e=%d&board=%d HTTP/1.0
ユーザーがユーザー名とパスワードの文字列を制御する場合、認証されたユーザーはこれを利用して、基礎となるシステムへのルートアクセスを得ることができます。
ソリューション
MikroTikは、これらの脆弱性に対処するためにRouterOS バージョン6.40.9、6.42.7および6.43をリリースしました。可能であれば、ユーザーはデフォルトの資格情報を変更する必要があります。
詳細情報:
現代のアタックサーフェスを総合的に管理するCyber Exposureプラットフォーム、Tenable.ioの詳細はこちら。Tenable.io Vulnerability Managementの60日間無料トライアルをお試し下さい。