พบช่องโหว่ระดับ critical ที่ทำให้สามารถยกระดับสิทธิ์เป็น Super Admin ทำให้อุปกรณ์ MikroTik RouterOS router กว่า 900,000 เครื่องตกอยู่ในความเสี่ยงที่อาจถูก Hacker โจมตีได้ ซึ่งอาจทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์จากระยะไกล และหลีกเลี่ยงการตรวจจับได้
CVE-2023-30799 (คะแนน CVSS 9.1/10 ความรุนแรงระดับ critical) เป็นช่องโหว่ที่ทำให้ Hacker ที่มีบัญชีผู้ดูแลระบบอยู่แล้ว สามารถยกระดับสิทธิ์เป็น "super-admin" ผ่าน Winbox หรืออินเทอร์เฟซ HTTP ของอุปกรณ์ (more…)
นักวิจัยด้านความปลอดภัยจาก Tenable Research ได้เปิดตัวการโจมตี RCE ใหม่ สำหรับช่องโหว่ Directory Traversal เก่าที่เคยพบ
ช่องโหว่ CVE-2018-14847 ได้รับการจัดอันดับความรุนแรงอยู่ระดับปานกลาง (Medium) แต่ควรได้รับการปรับระดับความรุนแรงเป็นสำคัญ (Critical) หลังจากนี้ เนื่องจากเทคนิคการแฮ็กใหม่ที่ใช้กับเราเตอร์ MikroTik มีช่องโหว่ช่วยให้ผู้โจมตีสามารถเรียกใช้โค้ดจากระยะไกลบนอุปกรณ์ที่ได้รับผลกระทบและได้รับสิทธิ์ root ส่งผลกระทบต่อ Winbox ซึ่งเป็นองค์ประกอบการจัดการสำหรับผู้ดูแลระบบในการตั้งค่าเราเตอร์โดยใช้อินเทอร์เฟซบนเว็บและแอพพลิเคชัน Windows GUI สำหรับซอฟต์แวร์ RouterOS ที่ใช้โดยอุปกรณ์ MikroTik
ช่องโหว่นี้ช่วยให้ผู้โจมตีจากระยะไกลสามารถเลี่ยงการตรวจสอบสิทธิ์และอ่านไฟล์ได้โดยการแก้ไขข้อมูลที่เกี่ยวกับ Session ID
Tenable Research "Jacob Baines" ได้ทำการทดสอบโดยเริ่มจากใช้ช่องโหว่ directory traversal เพื่อขโมยข้อมูล credential ที่ใช้เข้าสู่ระบบของผู้ดูแลจากไฟล์ฐานข้อมูลและเขียนไฟล์อื่นในระบบเพื่อให้ได้ root shell เข้าถึงได้จากระยะไกล โดยได้ตั้งชื่อ PoC ในครั้งนี้ว่า "By the Way" และได้เผยแพร่ไว้บน GitHub ของ Tenable
นอกจากนี้ Tenable ยังเปิดเผยช่องโหว่ใหม่ๆ ของ MikroTik Router อื่นๆ ได้แก่
- CVE-2018-1156 ข้อบกพร่องของ stack overflow ซึ่งอาจทำให้เกิดการเรียกใช้โค้ดจากระยะไกล ทำให้ผู้โจมตีได้สิทธิ์เต็มที่ในระบบ และเข้าถึงระบบภายในที่ใช้เราเตอร์ได้อย่างเต็มรูปแบบ.
- CVE-2018-1157 ข้อบกพร่องที่อัปโหลดไฟล์ memory exhaustion ซึ่งอนุญาตให้ผู้โจมตีจากระยะไกล สามารถขัดขวางการทำงาน (crash) ของ HTTP เซิร์ฟเวอร์ได้
- CVE-2018-1159 ข้อบกพร่องในส่วน www memory ที่อาจขัดขวางการทำงานของ HTTP เซิร์ฟเวอร์ โดยทำการตรวจสอบตัวตน (authenticating) และยกเลิกการเชื่อมต่ออย่าง (disconnecting) รวดเร็ว
- CVE-2018-1158 ปัญหาการทำ recusive parsing stack ของ JSON ที่สามารถขัดขวางการทำงาน (crash) ของเซิร์ฟเวอร์ HTTP ได้
Tenable Research ได้รายงานปัญหาต่างๆ ไปยัง MikroTik ตั้งแต่เดือนพฤษภาคม และทางบริษัทได้ทำการแก้ไขช่องโหว่ พร้อมปล่อย RouterOS เวอร์ชัน 6.40.9, 6.42.7 และ 6.43 ในเดือนสิงหาคม และจากการตรวจสอบล่าสุดพบว่า 70 เปอร์เซ็นต์ของเราเตอร์ (ประมาณ 200,000) ยังคงมีช่องโหว่อยู่ ทั้งนี้ Mikrotik RouterOS เวอร์ชั่นก่อน 6.42.7 และ 6.40.9 ได้รับผลกระทบจากช่องโหว่นี้ทุกตัว ผู้ใช้งานควรทำการแพทช์ให้เป็นเวอร์ชั่นล่าสุด
ที่มา : thehackernews
360Netlab ได้ประกาศว่ามีเครื่อง MikroTik router มากกว่า 7,500 ทั่วโลกกำลังส่งข้อมูล TZSP (TaZmen Sniffer Protocol) ไปยังที่อยู่ IP ภายนอกจำนวน 9 แห่งจากการที่ผู้บุกรุกได้ปรับเปลี่ยนการตั้งค่า packet sniffing ของอุปกรณ์เพื่อส่งต่อข้อมูลไปหา IP ของผู้บุกรุก โดยปลายทางที่มีการส่งข้อมูลหนาแน่นมากที่สุดคือ IP 37.1.207.114 และมีเหยื่อจากทั้งรัสเซีย บราซิล อินเดีย ยูเครน
MikroTik router ส่วนใหญ่ที่ถูกบุกรุกจะมีการเปิดใช้งาน Socks4 proxy ซึ่งมีช่องโหว่อนุญาตให้เข้าถึงได้จาก IP 95.154.216.128/25 โดยส่วนใหญ่จะพบที่ IP 95.154.216.167 ผู้โจมตีสามารถควบคุมอุปกรณ์ได้แม้จะได้รับการรีบูต(เปลี่ยน IP) โดยการรายงานที่อยู่ IP ใหม่ล่าสุดเป็น URL กลับไปยังช่วง IP ดังกล่าว
จากการสังเกตของนักวิจัยพบว่าผู้บุกรุกจะอาศัยช่องโหว่ CVE-2018-14847 ซึ่งจะพบใน Winbox for MikroTik RouterOS 6.42 หรือรุ่นที่ต่ำกว่า นักวิจัยแนะนำให้ผู้ใช้ MikroTik router อัปเดต Firmware เป็นเวอร์ชันล่าสุด
ที่มา : Bleepingcomputer
Kaspersky เปิดเผยการโจมตีในรูปแบบ APT ของมัลแวร์ Slingshot โดยใช้ช่องโหว่บนเราเตอร์ของ Mikrotik ในการโจมตี ซึ่งคาดว่าเริ่มมีการแพร่กระจายตั้งแต่ช่วงปี 2012 แต่ไม่มีใครสามารถตรวจจับได้ โดยมีผู้ได้รับผลกระทบกว่าหลายแสนรายในตะวันออกกลางและแอฟริกา
กลุ่มแฮกเกอร์ใช้ส่วนหนึ่งของมัลแวร์ที่เรียกว่า Slingshot เพื่อฝังเข้าไปยังเครื่องของเหยื่อ โดยทาง Kaspersky ค้นพบว่าผู้โจมตีพยายามใช้ประโยชน์จากช่องโหว่บนเราเตอร์ของ Mikrotik ในการแพร่กระจายสปายแวร์ไปยังเครื่องเป้าหมาย โดยทาง Kaspersky ได้พุ่งเป้าไปที่ WikiLeaks Vault 7 CIA Leaks ซึ่งเผยให้เห็นถึงการใช้ ChimayRed ที่มีอยู่ใน GitHub เพื่อเจาะเข้าสู่อุปกรณ์ Mikrotik
เมื่อสามารถเจาะเราเตอร์สำเร็จแฮกเกอร์จะวางไฟล์อันตรายแทนที่ไฟล์ DLL (dynamic link libraries) บนเครื่องของเหยื่อ เมื่อผู้ใช้เรียกใช้งานซอฟต์แวร์ WinBox Loader จะมีการโหลดไฟล์ดังกล่าวลงในหน่วยความจำหลักของเครื่องเป้าหมาย และเชื่อมต่อไปยังเซิร์ฟเวอร์ของแฮกเกอร์จากระยะไกลเพื่อดาวน์โหลดมัลแวร์ที่เป็นอันตราย
Slingshot มัลแวร์จะทำงานโดยอาศัย 2 โมดูลหลักๆ ได้แก่ Cahnadr และ GollumApp
Cahnadr หรือสามารถเรียกอีกชื่อหนึ่งว่า NDriver จะทำหน้าที่ในการหลบเลี่ยงการถูกตรวจจับ, การทำ Rootkit และการดักฟังข้อมูลต่างๆ รวมถึงยังทำการติดตั้งโมดูลอื่นๆ เพิ่มเติมและทำการเชื่อมต่อระบบเครือข่ายได้อีกด้วย
GollumApp จะทำการสอดส่องพฤติกรรมของผู้ใช้งาน, ทำการ Capture หน้าจอ, รวบรวมข้อมูลที่เกี่ยวข้องกับระบบเครือข่าย, รวบรวมรหัสผ่านที่บันทึกเอาไว้ใน Web Browser, บันทึกการพิมพ์ข้อมูลต่างๆ และเชื่อมต่อกับ Command & Control (C&C) Server เพื่อรับคำสั่งใหม่ๆ ในภายหลัง โดย GollumApp นี้ทำงานในระดับ Kernel ทำให้สามารถสร้าง Process ใหม่ๆ ภายใต้สิทธิ์ระดับ SYSTEM ได้ ทำให้ผู้โจมตีเข้ายึดครองเครื่องของเหยื่อได้โดยสมบูรณ์
ที่มา : thehackernews