短短一天,零日漏洞修復記錄被刷新!
近日,MikroTik發布了RouterOS的固件補丁,作為路由器附帶的操作系統,這項修補程序可用於修復零日漏洞。
MikroTik的工程師表示,該漏洞允許一個特殊工具連接到[MikroTik] Winbox埠,並申請系統用戶資料庫文件。而攻擊者會解密在資料庫中找到的用戶詳細信息,並登錄到MikroTik路由器。
捷克論壇上的零日漏洞
▼
據悉,捷克技術論壇的用戶首先發現了這些攻擊,黑客也採用了類似的模式。攻擊者有兩次失敗的Winbox登錄嘗試,而其成功登錄一次就會改變一些服務,註銷並在數小時後回來。
Winbox攻擊
所有攻擊都是針對Winbox,MikroTik通過其路由器提供的遠程管理服務,以允許用戶通過網路或互聯網配置設備。 Winbox服務(埠8291)默認與所有MikroTik設備一起啟用。
零日漏洞沒有被大規模開發
▼
好消息是:所有攻擊都是從一個IP地址進行的,這表明這是一個單獨的黑客的工作,而所有用戶報告的IP地址都是103.1.221.39,指定為台灣。
MikroTik的零日開發嘗試規模很小,幾乎沒有在港口活動追蹤器上註冊,例如SANS ISC和奇虎360 Netlab提供的那些。
MikroTik Winbox埠掃描活動
此外,MikroTik表示零日漏洞影響了自v6.29以來發布的所有RouterOS版本。該公司在今天早些時候發布的RouterOS v6.42.1和v6.43rc4上修補了零日漏洞。
該公司從用戶報告到推出補丁不到一天的時間,與一些廠商需要數月和數年才能發布固件補丁的情況相比,MikroTik的響應時間相當可觀。
建議用戶更改密碼,Winbox埠
▼
由於攻擊者盜取了用戶資料庫文件,並且無法告知哪些路由器在這些攻擊中受到攻擊,MikroTik工程師建議所有設備所有者更改其路由器的管理員帳戶密碼。
除了更新路由器的固件外,MikroTik的工程師還建議用戶使用Winbox實用程序將Winbox埠更改為另一個值,或者使用「Available From」欄位將埠的可用性限制為選定的IP和IP範圍,具體請參閱下圖:
Winbox配置建議
值得注意的是,不能把這個零日漏洞(目前還沒有CVE標識符)與CORE安全研究人員發現的最近漏洞(影響路由器的SMB服務)相混淆,而且它與Hajime殭屍網路最近利用的漏洞也不是同一個漏洞。
我們是『康眾智防』
Network Security Product
你可能還想看
↓ 這世上本沒有贊,點的人多了,也就有了
※微軟是「修復漏洞」還是「製造漏洞」?
※微軟對Meltdown Bug做了這些事……
TAG:康眾智防 |