Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Компания MikroTik устранила ошибку в программном обеспечении, но не проинформировала об этом пользователей и экспертов.
Латвийская компания MikroTik выпустила новый релиз операционной системы RouterOS, в котором устранила серьезную ошибку безопасности. Вендора известили о проблеме еще в феврале, но пользователи об этом узнали только сейчас.
Брешь была найдена в программном обеспечении коммуникационного оборудования MikroTik: при обработке запроса NetBIOS к SMB-сервису прошивки возникала ошибка переполнения буфера памяти, а в RouterOS была пропущена проверка на соответствие передаваемого пакета данных фактически доступному объему стека.
Так как переполнение буфера происходит до процедуры аутентификации, удаленный злоумышленник может воспользоваться уязвимостью и выполнить на устройстве вредоносный код.
Возможно, именно по такому сценарию развивалась атака зловреда Slingshot, о которой недавно рассказали эксперты «Лаборатории Касперского». С 2002 года киберпреступники сумели внедрить шпионское программное обеспечение на сотни компьютеров в странах Африки и Ближнего Востока. Во всех случаях точкой входа злоумышленников являлось коммуникационное оборудование MikroTik.
Латвийская компания исповедует необычный подход к раскрытию информации о проблемах безопасности, обнаруженных в ее устройствах. После того как исследователи сообщили вендору о найденной ошибке, он подтвердил ее наличие и сообщил, что уже запланировал релиз RouterOS с соответствующим патчем. По сложившейся практике эксперты отложили публикацию технических подробностей уязвимости, чтобы не ставить под удар владельцев скомпрометированных роутеров.
В оговоренные сроки MikroTik не смогла подготовить стабильный релиз прошивки и запросила новую отсрочку публикации CVE. Когда производитель все же выложил новую версию RouterOS, в ее описании не было ни упоминания об исправленной уязвимости, ни благодарности исследователям, которые помогли ее найти. В переписке со специалистами вендор подтвердил, что брешь была закрыта, но официального сообщения на эту тему так и не последовало.
Подобная практика не соответствует принятым в ИБ-сообществе принципам взаимодействия экспертов и производителей. Кроме того, сокрытие информации об исправленных ошибках ставит под угрозу клиентов MikroTik, которые могут пропустить это обновление, посчитав его незначительным.
На уязвимость роутеров MikroTik уже обращали внимание общественности «белые» хакеры: в январе они обнаружили около 7300 плохо защищенных устройств производителя и наградили их заметными именами вроде HACKED-ROUTER-HELP-SOS-HAD-DEFAULT-PASSWORD («взломанный роутер, помогите, SOS, использовал заводской пароль»).
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |