Латвийская компания MikroTik выпустила новый релиз операционной системы RouterOS, в котором устранила серьезную ошибку безопасности. Вендора известили о проблеме еще в феврале, но пользователи об этом узнали только сейчас.

Брешь была найдена в программном обеспечении коммуникационного оборудования MikroTik: при обработке запроса NetBIOS к SMB-сервису прошивки возникала ошибка переполнения буфера памяти, а в RouterOS была пропущена проверка на соответствие передаваемого пакета данных фактически доступному объему стека.

Так как переполнение буфера происходит до процедуры аутентификации, удаленный злоумышленник может воспользоваться уязвимостью и выполнить на устройстве вредоносный код.

Возможно, именно по такому сценарию развивалась атака зловреда Slingshot, о которой недавно рассказали эксперты «Лаборатории Касперского». С 2002 года киберпреступники сумели внедрить шпионское программное обеспечение на сотни компьютеров в странах Африки и Ближнего Востока. Во всех случаях точкой входа злоумышленников являлось коммуникационное оборудование MikroTik.

Латвийская компания исповедует необычный подход к раскрытию информации о проблемах безопасности, обнаруженных в ее устройствах. После того как исследователи сообщили вендору о найденной ошибке, он подтвердил ее наличие и сообщил, что уже запланировал релиз RouterOS с соответствующим патчем. По сложившейся практике эксперты отложили публикацию технических подробностей уязвимости, чтобы не ставить под удар владельцев скомпрометированных роутеров.

В оговоренные сроки MikroTik не смогла подготовить стабильный релиз прошивки и запросила новую отсрочку публикации CVE. Когда производитель все же выложил новую версию RouterOS, в ее описании не было ни упоминания об исправленной уязвимости, ни благодарности исследователям, которые помогли ее найти. В переписке со специалистами вендор подтвердил, что брешь была закрыта, но официального сообщения на эту тему так и не последовало.

Подобная практика не соответствует принятым в ИБ-сообществе принципам взаимодействия экспертов и производителей. Кроме того, сокрытие информации об исправленных ошибках ставит под угрозу клиентов MikroTik, которые могут пропустить это обновление, посчитав его незначительным.

На уязвимость роутеров MikroTik уже обращали внимание общественности «белые» хакеры: в январе они обнаружили около 7300 плохо защищенных устройств производителя и наградили их заметными именами вроде HACKED-ROUTER-HELP-SOS-HAD-DEFAULT-PASSWORD («взломанный роутер, помогите, SOS, использовал заводской пароль»).

Категории: Кибероборона, Уязвимости