MikroTik устранила 0Day-уязвимость в своем оборудовании

Латвийский производитель сетевого оборудования MikroTik выпустил обновления прошивки RouterOS, использующейся в ряде моделей маршрутизаторов компании, устраняющие опасную уязвимость , которая позволяет подключиться к MikroTik Winbox, запросить файл системной базы данных пользователей и авторизоваться на устройстве. Уязвимость уже активно эксплуатируется хакерами.

Первые сообщения об атаках появились на одном из чешских технофорумов. Согласно словам пользователей, все попытки взлома имели схожий характер: злоумышленник трижды пытался авторизоваться на устройстве (две неудачные попытки и одна удачная), затем изменял несколько сервисов, выходил из системы и через несколько часов вновь возвращался. В атаках эксплуатировался инструмент Winbox для удаленной настройки маршрутизаторов. Порт Winbox 8291 открыт по умолчанию на всех маршрутизаторах MikroTik. Предположительно, все попытки взлома - дело рук одного атакующего, так как они осуществлялись с IP-адреса 103.1.221.39 в Тайване.

Уязвимость затрагивает все версии RouterOS, начиная с v6.29. Проблема исправлена в версиях RouterOS v6.42.1 и v6.43rc4. В связи с тем, что база данных оказалась в руках злоумышленника, и отсутствием возможности идентифицировать скомпрометированные маршрутизаторы инженеры MikroTik рекомендуют всем пользователям как можно скорее установить обновления или изменить пароли на устройствах. Также рекомендуется изменить порт Winbox или ограничить доступ к устройству, за исключением доверенных IP-адресов и интернет-провайдеров.

Данной уязвимости пока не присвоен идентификатор CVE. Как отмечается, вышеописанная проблема не связана с уязвимостью CVE-2018-7445, затрагивающей SMB сервис маршрутизаторов MikroTik или с недавно возросшей активностью ботнета Hajime.