7.5 CVE-2019-3978

CSRF Used by Malware

As versões 6.45.6 do RouterOS Stable, 6.44.5 Long-term e abaixo permitem que invasores remotos não autenticados acionem consultas DNS através da porta 8291. As consultas são enviadas do roteador para um servidor de escolha do invasor. As respostas DNS são armazenadas em cache pelo roteador, resultando potencialmente no envenenamento do cache
https://nvd.nist.gov/vuln/detail/CVE-2019-3978

Aviso: vulnerabilidade utilizada por um ou mais Malwares :

Glupteba

Categorias

CWE-306 : Autenticação Falta para Função Crítica
O produto não efectua qualquer autenticação para funcionalidade que exija uma identidade de utilizador comprovável ou que consuma uma quantidade significativa de recursos. Para quaisquer verificações de segurança que são realizadas do lado do cliente, assegurar que estas verificações são duplicadas do lado do servidor, a fim de evitar a CWE-602. Os atacantes podem contornar as verificações do lado do cliente modificando os valores após as verificações terem sido executadas, ou alterando o cliente para remover completamente as verificações do lado do cliente. Então, estes valores modificados seriam submetidos ao servidor. Ao armazenar dados na nuvem (por exemplo, baldes S3, Blobs Azure, Google Cloud Storage, etc.), utilizar os controlos do fornecedor para exigir uma autenticação forte para os utilizadores que devem ter permissão para aceder aos dados [REF-1297] [REF-1298] [REF-1302]. O protocolo baseado em TCP no Controlador Lógico Programável (PLC) não tem autenticação. O firmware do Controlador de Condição utiliza um protocolo que não requer autenticação. O protocolo baseado em SCADA para fazer a ponte entre o tráfego WAN e LAN não tem autenticação. O Safety Instrumented System usa protocolos TCP proprietários sem autenticação. O Sistema de Controlo Distribuído (DCS) usa um protocolo que não requer autenticação. Cadeia: Plataforma de virtualização de computação em nuvem não requer autenticação para o carregamento de um ficheiro em formato tar (CWE-306), depois utiliza ... sequências de travessias de caminho (CWE-23) no ficheiro para aceder a ficheiros inesperados, tal como explorados na natureza por CISA KEV. O produto de gestão de TI não realiza autenticação para alguns pedidos REST API, conforme explorado na natureza por CISA KEV. A configuração por defeito no produto de gestão de fluxo de trabalho permite todos os pedidos API sem autenticação, tal como explorados na natureza por CISA KEV. MFV. Aceder ao servidor TFTP sem autenticação e obter ficheiro de configuração com informação sensível de texto em quadrícula. O software de agente executado com privilégios não autentica os pedidos recebidos sobre um canal desprotegido, permitindo um ataque "Shatter". O produto impõe restrições através de uma GUI mas não através de APIs privilegiadas. dispositivo de monitorização permite o acesso à porta de depuração UART física sem autenticação O Controlador Lógico Programável (PLC) não tem uma funcionalidade de autenticação nos seus protocolos de comunicação.

Referências

MISC

http://packetstormsecurity.com/files/155036/MikroTik-RouterOS-6.45.6-DNS-Cache-Poisoning.html Third Party Advisory
https://www.tenable.com/security/research/tra-2019-46 Third Party Advisory

CPE

cpe	começar	fim
Configuration 1
cpe:2.3:o:mikrotik:routeros:::::ltr:::*		<= 6.44.5
cpe:2.3:o:mikrotik:routeros:::::-:::*		<= 6.45.6

REMEDIAÇÃO

EXPLOITS

Exploit-db.com

id	descrição	datado
47566	MikroTik RouterOS 6.45.6 - Envenenamento de Cache DNS	2019-10-31 00:00:00

Outros (github, ...)

Url
Nenhum exploit conhecido

CAPEC

Common Attack Pattern Enumerations and Classifications

id	descrição	gravidade
12	Escolhendo o identificador da mensagem Este padrão de ataque é definido pela selecção de mensagens distribuídas através de multicast ou canais de informação públicos que se destinam a outro cliente, determinando o valor do parâmetro atribuído a esse cliente. Este ataque permite que o adversário tenha acesso a informação potencialmente privilegiada, e possivelmente perpetrar outros ataques através dos meios de distribuição por imitação. Se o canal/mensagem sendo manipulado é um mecanismo de entrada em vez de saída para o sistema (como um bus de comando), este estilo de ataque poderia ser usado para mudar o identificador do adversário para mais um privilegiado. Determinar a natureza das mensagens a serem transportadas, bem como os identificadores a serem utilizados como parte do ataque [Autenticar] Se necessário, autenticar no canal de distribuição [Identificar Identificadores de Cliente Conhecidos] Se a informação de algum cliente em particular estiver disponível através de um canal de controle disponível para todos os usuários, o adversário descobrirá identificadores particulares para clientes alvo, observando este canal, ou solicitando informações do cliente através deste canal. Os adversários com acesso de cliente aos canais de saída podem alterar o seu identificador de canal e ver os dados de outra pessoa (talvez mais privilegiados).	Alto
166	Forçar o sistema a redefinir os valores Um atacante força o alvo para um estado anterior, a fim de aproveitar potenciais fraquezas do alvo, dependendo de uma configuração anterior ou de fatores dependentes do estado. Mesmo nos casos em que um atacante pode não ser capaz de controlar diretamente a configuração da aplicação alvo, ele pode ser capaz de redefinir a configuração para um estado anterior, já que muitas aplicações implementam funções de redefinição.	Média
216	Manipulação de canais de comunicação Um adversário manipula uma configuração ou parâmetro no canal de comunicação para comprometer sua segurança. Isso pode resultar na exposição de informações, inserção / remoção de informações do fluxo de comunicações e / ou potencialmente comprometimento do sistema.
36	Usando Interfaces ou Funcionalidades não publicadas Um adversário procura e invoca interfaces ou funcionalidades que os desenhadores do sistema alvo não pretendiam que estivessem publicamente disponíveis. Se as interfaces não autenticarem os pedidos, o atacante pode ser capaz de invocar funcionalidades para as quais não está autorizado. [Identificar serviços] Descobrir um serviço de interesse através da exploração de listas de registo de serviços ou através da ligação numa porta conhecida ou algum meio semelhante. [Autenticar para o serviço] Autenticar para o serviço, se necessário, a fim de o explorar. [Determinar as interfaces expostas consultando o registo, bem como provavelmente farejando para expor interfaces que não estejam explicitamente listadas. [Utilizando meios manuais ou automatizados, descobrir funções não publicadas ou não documentadas expostas pelo serviço. [Exploração de funções não publicadas] Usando informação determinada através de experimentação, explorar as características não publicadas do serviço.	Alto
62	Falsificação de Pedido Cross Site Um atacante cria e distribui links maliciosos na web (através de páginas web, e-mail, etc.), normalmente de forma direccionada, esperando induzir os utilizadores a clicar no link e executar a acção maliciosa contra alguma aplicação de terceiros. Se bem sucedida, a ação embutida no link malicioso será processada e aceita pela aplicação alvo com o nível de privilégio dos usuários. Este tipo de ataque aproveita a persistência e a confiança implícita colocada nos cookies de sessão do usuário por muitos aplicativos da Web atualmente. Em tal arquitetura, uma vez que o usuário se autentica a um aplicativo e um cookie de sessão é criado no sistema do usuário, todas as transações seguintes para essa sessão são autenticadas usando esse cookie, incluindo ações potenciais iniciadas por um atacante e simplesmente "cavalgando" o cookie de sessão existente. O atacante primeiro explora o site alvo para determinar as funcionalidades que são do seu interesse (por exemplo, transferências de dinheiro). O atacante vai precisar de uma conta de usuário legítima no site alvo. Isso ajudaria a ter duas contas. [Criar um link que, quando clicado, irá executar a funcionalidade interessante]. O atacante precisa criar um link que executará alguma funcionalidade interessante, como transferir dinheiro, alterar uma senha, etc. Finalmente, o atacante precisa convencer um usuário que está logado no site alvo a clicar em um link para executar o ataque CSRF.	Muito alto

MITRE

Sherlock® flash

Tire uma foto da sua rede informática em poucos cliques !

A solução de auditoria Sherlock® flash permite-lhe realizar uma auditoria para reforçar a segurança dos seus activos informáticos. Vulnerabilidade do seu equipamento físico e virtual. Planeamento de correcções por nível de prioridade e tempo disponível. Relatórios detalhados e intuitivos.

Descubra esta oferta

Sherlock® flash: 1ª solução instantânea de auditoria cibernética de segurança