RouterOS versão 6.45.6 Stable, 6.44.5 Long-term, e anteriores são vulneráveis a um ataque de DNS dados não relacionados. O roteador adiciona todos os registros A ao cache DNS, mesmo quando os registros não estão relacionados ao domínio que foi consultado. Portanto, um servidor DNS controlado por um invasor remoto pode envenenar o cache DNS do roteador por meio de respostas maliciosas com registros adicionais e falsos.
Tag: Mikrotik
ASA-2019-00618 – MikroTik RouterOS: Proteção Insuficiente de Recursos Críticos (Requisições e cache DNS)
As versões do RouterOS 6.45.6 Stable, 6.44.5 Long-term e anteriores permitem que atacantes não autenticados acionem remotamente consultas DNS pela porta 8291. As consultas são enviadas do roteador para um servidor de sua escolha. As respostas DNS são armazenadas em cache pelo roteador, resultando potencialmente em cache poisoning.
ASA-2019-00617 – MikroTik RouterOS: Validação insuficiente de origem do pacote de atualização
O RouterOS 6.45.6 Stable, o RouterOS 6.44.5 Long-term e anteriores valida insuficientemente de onde os pacotes de atualização são baixados ao usar o recurso de atualização automática. Contudo, um invasor remoto pode induzir o roteador a "atualizar" para uma versão mais antiga do RouterOS e possivelmente redefinir todos os nomes de usuário e senhas do sistema.
ASA-2019-00616 – MikroTik RouterOS: Relative Path Traversal durante parsing de NPK
RouterOS 6.45.6 Stable, RouterOS 6.44.5 Long-term e versões anteriores são vulneráveis a criação de diretórios arbitrários por meio do campo name no pacote de atualização. Se um usuário autenticado instalar um pacote malicioso, um diretório poderá ser criado e a shell do desenvolvedor poderá ser ativada.
ASA-2019-00525 – MikroTik RouterOS: Vulnerabilidade de exclusão de arquivo arbitrário autenticado
Existe uma vulnerabilidade de exclusão arbitrária de arquivos autenticado no RouterOS do MikroTik. A exploração dessa vulnerabilidade permitiria que a um usuário autenticado remotamente excluir arquivos arbitrários do sistema, o que poderia levar à escalação de privilégios.