基於CVE-2018-14847的Mikrotik RouterOS安全事件分析

一、 背景

    近段時間,我們從網際網路上相關數據獲知巴西境內大量Mikrotik路由器被感染挖礦,規模很大,且有全網蔓延趨勢,攻擊者利用了今年早些時候的一個比較嚴重的漏洞CVE-2018-14847,考慮到國內到也有不少用戶在使用Mikrotik路由器,超弦實驗室安全研究人員對於該漏洞與此事件迅速展開了深度跟蹤與分析。

二、 漏洞分析與利用

    通過修復前後的代碼比對與分析我們發現文件nova/bin/mproxy存在過濾或校驗路徑遍歷問題的不足,即路徑遍歷漏洞,接下來便是針對該類型漏洞的各種測試,輔助Burp Suite等滲透測試工具與RouterOS調試,進行多次構造請求嘗試,抓包分析,通過特殊構造的請求,我們能夠從伺服器上讀取任何想要的文件, 其中就包括存放RouterOS用戶名密碼等信息的文件/flash/rw/store/user.dat.

    利用該漏洞的核心是基於路徑遍歷的缺陷，從而獲取存放用戶名密碼的資料庫文件user.dat。由於RouterOS沒有使用標準的加密方式進行加密，而只是把密碼原文和md5(用戶名 + "283i4jfkai3389") 做了一次XOR運算，運算的結果完全可逆，幾乎可以認為是明文存儲了密碼，使用mikrotik-tools https://github.com/0ki/mikrotik-tools  包含的解碼文件可以直接還原出明文密碼，進而獲得路由器的任意讀控制權,再結合路由器內置的開發者後門登錄進去便可獲得任意寫的控制權。

三、 在野利用事件分析

    自從CVE-2018-14847三月份曝光以來，便有大量基於該漏洞利用的攻擊，比如前段時間我們分析的VPNFilter殭屍網絡，也是利用該漏洞作為最初的路由器感染向量，然後近段時間我們也觀察到攻擊者利用該漏洞發動多起基於Mikrotik路由器的挖礦攻擊活動以獲取利益最大化(IoT設備挖礦已成趨勢)，Avast、MalwareBytes等廠商均有提及,而且攻擊重點是巴西，為什麼是巴西？

    經過一系列關聯分析與統計,針對此次Mikrotik挖礦感染的規模我們得到如下初步結果:

    上述統計結果顯示,手法1和2從數量和前3國家都是極其一致的,巴西受感染設備數量排列第一(這與巴西分布有最多的Mikrotik設備是一致的),印度尼西亞位居第二,中國排列第三(8,000+),其中自治系統CHINANET-BACKBONE No.31,Jin-rong Street(國內Bot集中營..)就分布有主機60,000+臺,可見國內已有感染蔓延趨勢!

    綜上我們得知,攻擊者利用Mikrotik RouterOS漏洞CVE-2018-14847在全球範圍了發起了大規模設備攻擊,由於巴西地區分布的Mikrotik設備最多,也自然成為攻擊首選,從目前的感染規模、漏洞利用代碼與感染方式、免殺時效性等都可以看出攻擊者對Mikrotik設備通信協議與現有安全機制十分熟悉，而且手法1和手法2應該是同一組織所為。在F5實驗室最新發布的物聯網安全報告中指出, 2018年1月1日至6月30日期間，統計顯示十大攻擊源發起國中,巴西佔比最高為18%(中國第二),這可能與此次巴西境內大量Mikrotik路由器遭到劫持與感染有關，導致流量劇增：

四、 防範與處置建議

    對於檢測自己的路由器是否被劫持挖礦,比較簡單的方法是用戶可在不設置任何代理的情況下通過瀏覽器(chrome優先)訪問http頁面http://6cloudtech.com ,同時按F12打開開發者工具,查看sources和network兩欄,看是否有挖礦腳本:

    針對此威脅的嚴重性,超弦實驗室給出如下的防範建議:

    1>  升級RouterOS到最新版本

    2>  立刻更改密碼

    3>  配置8291埠只允許從信任的已知IP訪問

    4>  使用「Export」命令查看所有配置並檢查任何異常，例如未知的SOCKS代理和腳本。

    5>  根據需要配置相關的防火牆規則或者部署六方雲下一代防火牆(提供入侵檢測)

    六方雲下一代防火牆和工業防火牆已支持針對該路由器挖礦攻擊的檢測:

 

五、 總結

    回到CVE-2018-14847成因上來看,這只是一個「未授權的任意讀」的路徑遍歷漏洞,主要用來竊取憑證,即便拿到用戶名與密碼登錄進去,也無法獲得底層Linux系統的操作權,而在後續一系列的成功利用中,無疑路由器後門成為問題的關鍵,過去幾年,關於路由器後門事件風波不斷,涵蓋國內外各大路由器廠商, Cisco(思科) 、D-LINK、Tenda、Linksys、Netgear、Netcore等均有此類事件曝出,就在前幾天,思科被曝今年第七次刪除其小型交換機產品中的後門帳戶, 對於頻繁曝出的「後門」事件，廠商給出的說辭大多是：為了調試程序等技術需求而留下的接口，但是出廠時忘記刪除了;這絕對不是後門，而是一個純粹的安全漏洞，因產品開發時並沒有留意造成。而且路由器後門的權限極高,可以直接與底層作業系統通信,一旦被黑客利用,劫持路由器,將會對用戶的上網安全造成極其嚴重的後果,可以用來傳播感染與代理挖礦、或者作為VPN跳板組建大型分布式殭屍網絡,進而發動DDos等等,從近1-2年來看,黑客對於IoT風口路由器的利用正在進行從勒索到挖礦的利益轉向,雖然挖礦遠不及勒索獲得的直接收益快和多,但鑑於挖礦可以更好的隱蔽不易被用戶察覺,而且當大型分布式感染網絡組建起來後,從長遠看,利益也是相當可觀的(另外利用物聯網設備發動DDos攻擊也是近幾年常有的事),IoT挖礦已成趨勢!

    路由器是家庭聯網的入口，家庭中各式的聯網設備都會與其相連，通過這道「閘門」最終進入網際網路,黑客正緊盯這個家庭IoT入口,路由器的安全值得廠商與用戶高度關注!