MikroTik ルーターのバグに対するパッチをまだインストールしていない場合 (所有者の 3 分の 2 がまだインストールしていないようです)、勇気を出して血潮を沸き立たせてください。ファームウェアを本当に更新する必要があります。
これらの脆弱性は、メーカーが8月のソフトウェアアップデートで既に修正済みですが、悪用されるとリモートコード実行(RCE)につながる可能性があります。しかしながら、インターネットに接続している脆弱なMikroTik製品の約68%は未だにパッチが適用されていないとのことです。
Tenable Security の Jacob Baines 氏が日曜日の Derbycon ハッキング カンファレンスで発表した残念な欠陥リストには、認証された RCE (CVE-2018-1156)、ファイル アップロードのメモリ枯渇バグ (CVE-2018-1157)、メモリ破損バグ (CVE-2018-1159)、再帰解析スタック枯渇バグ (CVE-2018-1158) が含まれています。
一見すると、認証されたユーザーのみがアクセスできるRCEは読者にとって問題視されるかもしれません。そもそも、脆弱なデフォルトパスワードを使う人なんていませんよね?しかし、GitHubに投稿されたプレゼンテーションスライド[PDF]によると、古いディレクトリトラバーサルバグ(CVE-2018-14847)では、攻撃者が被害者のシステムから任意のファイルを読み取ることができ、それには/etc/passwd/や の認証情報へのアクセスも含まれuser.datます。つまり、あるバグを悪用することで、別の非常に深刻なバグを悪用するために必要なログイン情報を入手でき、それによって誰かのインターネットゲートウェイで悪意のあるコードを実行できるようになるのです。
Tenable は今週のブログ投稿で、認証された攻撃者が「潜在的にシステムへの完全なアクセス権を取得し、トラフィックを迂回および再ルーティングし、ルーターを使用するあらゆる内部システムにアクセスできるようになる」と指摘しました。
MikroTikルーターはツルハシを手に取り、暗号通貨鉱山に降り立つ
続きを読む
MikroTik の RouterOS を改良する過程で、Baines 氏は CVE-2018-14847 の脆弱性に新たな側面があることも発見しました。彼は任意の書き込みを許可するコマンドを発見しました。このコマンドにより、「資格情報に関する事前の知識がなくても、リモート攻撃者が基盤となるオペレーティング システム (Linux) へのルート ターミナル アクセスが可能になります」。
今年、ハッカーがMikroTikルーターをいとも簡単に乗っ取ったのも不思議ではない。
Tenableのブログ投稿には、「2018年10月3日現在、約35,000~40,000台のデバイスに更新・パッチ適用済みのバージョンが表示されている」とShodan.ioの検索で確認されたと記載されています。Baines氏のプレゼンテーションでは、MikroTikルーターの67.8%が現在パッチ未適用のままであると推定されています。
MikroTikは、ルーターOSバージョン6.42.7、6.40.9、6.43のセキュリティ欠陥を修正し、8月下旬にリリースしました。まだパッチを当てていない方は、できるだけ早くパッチを入手してインストールしてください。あなたのルーターが他人のルーターになってしまう前に。®
