ASA-2019-00617 – MikroTik RouterOS: Validação insuficiente de origem do pacote de atualização


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00617

Identificador(es)

ASA-2019-00617, CVE-2019-3977, TRA-2019-46

Título

Validação insuficiente de origem do pacote de atualização

Fabricante(s)

MikroTik

Produto(s)

MikroTik RouterOS

Versão(ões) afetada(s)

MikroTik RouterOS Stable versões anteriores 6.45.7
MikroTik RouterOS Long-term versões anteriores 6.44.6

Versão(ões) corrigida(s)

MikroTik RouterOS Stable versão 6.45.7
MikroTik RouterOS Long-term versão 6.44.6

Prova de conceito

Desconhecido

Descrição

O RouterOS 6.45.6 Stable, o RouterOS 6.44.5 Long-term e anteriores validam insuficientemente de onde os pacotes de atualização são baixados ao usar o recurso de atualização automática. Contudo, um invasor remoto pode induzir o roteador a “atualizar” para uma versão mais antiga do RouterOS e possivelmente redefinir todos os nomes de usuário e senhas do sistema.

Detalhes técnicos

Desconhecido

Créditos

Jacob Baines (Tenable Research)

Referência(s)

MikroTik RouterOS Multiple Vulnerabilities
https://www.tenable.com/security/research/tra-2019-46

RouterOS: Chain to Root
https://medium.com/tenable-techblog/routeros-chain-to-root-f4e0b07c0b21

MikroTik Routers and Wireless – Software
https://mikrotik.com/download/changelogs

CVE-2019-3977
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3977

CVE-2019-3977
https://nvd.nist.gov/vuln/detail/CVE-2019-3977

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 31 outubro 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.