MikroTik成立于1995年,总部位于拉脱维亚首都里加,主要从事开发路由器和无线ISP系统。MikroTik RouterOS是一种路由操作系统,并通过该软件将标准的PC电脑变成专业路由器。
上周末,国外安全研究人员在网上针对MikroTik路由器任意文件读取漏洞(CVE-2018-14847,对应CNVD-2018-12706)漏洞公布了一段PoC代码,实现了在受影响的MikroTik路由器上的远程代码执行,并将该漏洞命名为By the Way。
相关链接如下:
http://www.cnvd.org.cn/flaw/show/CNVD-2018-12706
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-14847
任意文件读取漏洞可导致远程攻击者获取服务器中任意文件,如脚本代码、服务及系统配置文件等敏感文件。通过获取的代码进行进一步代码审计可得到更多可利用漏洞。目前已有漏洞利用脚本可通过此漏洞实现完全控制,且版本较多,实现简单,故此漏洞危害较大。
MikroTik Winbox >=6.29
MikroTik Winbox <=6.42
目前厂商已经公布升级补丁,请用户及时更新:
https://mikrotik.com/download
评论已关闭。