[Wien] VULN] Mikrotik RouterOS sshd (ROSSSH) - Remote Preauth Heap Corruption

Markus Kittenberger (spam-protected)
Di Sep 3 22:34:46 CEST 2013


Jein, es geht hier um nen bug im ssh von routeros, den man am besten
demonstrieren kann, wenn man sich zuvor ein root login verschafft.

lg Markus


On Tue, Sep 3, 2013 at 9:28 PM, Clemens Hopfer <(spam-protected)> wrote:

> Hi,
>
> das ist soweit ich seh genau der Weg, den Markus verwendet um aus der
> mikrotik-shell auszubrechen und die Dinger per ssh "aufzumachen". Dazu muss
> man allerdings bereits ein funktionierendes SSH login haben.
>
> Lg,
> Clemens
>
> Am Dienstag, 3. September 2013, 20:07:09 schrieb L. Aaron Kaplan:
> > Das koennte hier einige interessieren. Bei uns im Netz gibt es ein paar
> > Mikrotiks.
> > Begin forwarded message:
> > > http://www.exploit-db.com/exploits/28056/
> > >
> > > Mikrotik RouterOS sshd (ROSSSH) - Remote Preauth Heap Corruption
> > >
> > > During an audit the Mikrotik RouterOS sshd (ROSSSH) has been identified
> > > to have a remote previous to authentication heap corruption in its sshd
> > > component.
> > >
> > > Exploitation of this vulnerability will allow full access to the router
> > > device.
> > >
> > > This analysis describes the bug and includes a way to get developer
> > > access to recent versions of Mikrotik RouterOS
> > > using the /etc/devel-login file. This is done by forging a modified NPK
> > > file using a correct signature and logging
> > > into the device with username ‘devel’ and the password of the
> > > administrator. This will drop into a busybox shell for
> > > further researching the sshd vulnerability using gdb and strace tools
> > > that have been compiled for the Mikrotik busybox
> > > platform.
> > >
> > > Shodanhq.com shows >290.000 entries for the ROSSSH search term.
> > >
> > > The 50 megs Mikrotik package including the all research items can be
> > > downloaded here:
> > >
> > > http://www.farlight.org/mikropackage.zip
> > > http://www.exploit-db.com/sploits/28056.zip
>
> --
> Wien mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/wien
>
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/wien/attachments/20130903/c15c4106/attachment.htm>
-------------- nächster Teil --------------
--
Wien mailing list
(spam-protected)
https://lists.funkfeuer.at/mailman/listinfo/wien


Mehr Informationen über die Mailingliste Wien