MikroTik路由器RouterOS中存在多个漏洞

Tenable Research在MikroTik路由器的RouterOS中发现多个漏洞，包括可造成经过身份验证的远程代码执行（RCE）的CVE-2018-1156 、文件上传内存耗尽的CVE-2018-1157、递归解析堆栈耗尽的CVE-2018-1158和www内存损坏的CVE-2018-1159。RouterOS是一个基于Linux内核的操作系统，实现了ISP提供的BGP、IPv6、OSPF和MPLS等功能。研究人员称攻击者可以使用默认凭据（通常在路由器上保持不变）来利用这些漏洞，其中最严重的为经过身份验证的RCE漏洞，攻击者可以获得完整的系统访问权限，并允许转移和改变路由流量路径或访问任何使用路由器的任何内部系统。目前MikroTik发布了RouterOS版本6.40.9,6.42.7和6.43来解决这些漏洞。