Motsulog

セキュリティの周辺でもぞもぞするだけの自分用メモ

MikroTik Winboxの脆弱性: CVE-2018-14847

侵害されるとルーターの管理者権限が奪われてしまうこと、ルーターOSのパッチなのでなかなか適用が進まないこと等から、影響がかなり大きくなっているようなので、自分の理解のためにまとめてみた。
cve.mitre.org

WinboxはMikroTikのルーターをリモートから操作するためのツールとのこと。

MikroTik RouterOS 6.42以前には、このWinboxの認証をバイパスできる脆弱性があるという。

2018年4月にMikroTikから修正パッチがリリースされたが、なかなか適用されていない模様。

 

Mass MikroTik Router Infection – First we cryptojack Brazil, then we take the World?

Trustwaveの研究者のレポート:

この脆弱性によって最終的にはMikroTikルーターの管理者権限が奪取される。

そして攻撃者は、MikroTikルーターそのものを攻撃するのではなく、MikroTikの機能を悪用して、ルーターを通るHTTP通信にCoinHiveを挿入するよう設定を改変することを思いついた。

1. HTTPアクセスがエラーになった時、カスタムエラーページを返すように設定し、その中にCoinHiveスクリプトへのリダイレクトを仕込んだ。

2. 無線アクセスするとカスタムページに誘導するスクリプトを設定していた。カスタムページは削除されていて中身を確認できなかった。おそらくそのカスタムページには、CoinHiveスクリプトへのリダイレクトが含まれていたと思われる。

そうすると侵入されたMikroTikルーターがWebサーバーへのアクセス経路にあるだけで、ユーザーのコンピューター上でCoinHiveが実行されてしまうという事態になっていた。