ASA-2019-00525 – MikroTik RouterOS: Vulnerabilidade de exclusão de arquivo arbitrário autenticado


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00525

Identificador(es)

ASA-2019-00525, CVE-2019-15055, FG-VD-19-108

Título

Vulnerabilidade de exclusão de arquivo arbitrário autenticado

Fabricante(s)

MikroTik

Produto(s)

MikroTik RouterOS

Versão(ões) afetada(s)

MikroTik RouterOS versão 6.44.5
MikroTik RouterOS versões 6.45.x a 6.45.3

Versão(ões) corrigida(s)

Mikrotik RouterOS versão de teste 6.46beta34 (2019-Aug-22 06:24)
Mikrotik RouterOS versão estável 6.45.5 (26-ago-2019 10:56)

Prova de conceito

Sim

Descrição

Existe uma vulnerabilidade de exclusão arbitrária de arquivos autenticado no RouterOS do MikroTik. A exploração dessa vulnerabilidade permitiria que a um usuário autenticado remotamente excluir arquivos arbitrários do sistema, o que poderia levar à escalação de privilégios.

Detalhes técnicos

Desconhecido

Créditos

Tin Duong (Fortinet FortiGuard Labs)

Referência(s)

Fortinet Discovers MikroTik RouterOS Authenticated Arbitrary File Deletion Vulnerability
https://fortiguard.com/zeroday/FG-VD-19-108

Rooting RouterOS with a USB Drive
https://medium.com/tenable-techblog/rooting-routeros-with-a-usb-drive-16d7b8665f90

CVE-2019-15055 USB to Root
https://www.youtube.com/watch?v=HIIqEi0_uN4&feature=youtu.be

Testing release tree
https://mikrotik.com/download/changelogs/testing-release-tree

Stable release tree
https://mikrotik.com/download/changelogs/stable-release-tree

CVE-2019-15055
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-15055

CVE-2019-15055
https://nvd.nist.gov/vuln/detail/CVE-2019-15055

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 3 setembro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.