短短一天，零日漏洞修復記錄被刷新！

近日，MikroTik發布了RouterOS的固件補丁，作為路由器附帶的操作系統，這項修補程序可用於修復零日漏洞。

MikroTik的工程師表示，該漏洞允許一個特殊工具連接到[MikroTik] Winbox埠，並申請系統用戶資料庫文件。而攻擊者會解密在資料庫中找到的用戶詳細信息，並登錄到MikroTik路由器。

捷克論壇上的零日漏洞

▼

據悉，捷克技術論壇的用戶首先發現了這些攻擊，黑客也採用了類似的模式。攻擊者有兩次失敗的Winbox登錄嘗試，而其成功登錄一次就會改變一些服務，註銷並在數小時後回來。

Winbox攻擊

所有攻擊都是針對Winbox，MikroTik通過其路由器提供的遠程管理服務，以允許用戶通過網路或互聯網配置設備。 Winbox服務（埠8291）默認與所有MikroTik設備一起啟用。

零日漏洞沒有被大規模開發

▼

好消息是：所有攻擊都是從一個IP地址進行的，這表明這是一個單獨的黑客的工作，而所有用戶報告的IP地址都是103.1.221.39，指定為台灣。

MikroTik的零日開發嘗試規模很小，幾乎沒有在港口活動追蹤器上註冊，例如SANS ISC和奇虎360 Netlab提供的那些。

MikroTik Winbox埠掃描活動

此外，MikroTik表示零日漏洞影響了自v6.29以來發布的所有RouterOS版本。該公司在今天早些時候發布的RouterOS v6.42.1和v6.43rc4上修補了零日漏洞。

該公司從用戶報告到推出補丁不到一天的時間，與一些廠商需要數月和數年才能發布固件補丁的情況相比，MikroTik的響應時間相當可觀。

建議用戶更改密碼，Winbox埠

▼

由於攻擊者盜取了用戶資料庫文件，並且無法告知哪些路由器在這些攻擊中受到攻擊，MikroTik工程師建議所有設備所有者更改其路由器的管理員帳戶密碼。

除了更新路由器的固件外，MikroTik的工程師還建議用戶使用Winbox實用程序將Winbox埠更改為另一個值，或者使用「Available From」欄位將埠的可用性限制為選定的IP和IP範圍，具體請參閱下圖：

Winbox配置建議

值得注意的是，不能把這個零日漏洞（目前還沒有CVE標識符）與CORE安全研究人員發現的最近漏洞（影響路由器的SMB服務）相混淆，而且它與Hajime殭屍網路最近利用的漏洞也不是同一個漏洞。

我們是『康眾智防』

Network Security Product

你可能還想看

↓ 這世上本沒有贊，點的人多了，也就有了

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！