MikroTik 做為網路基礎建設的供應商,其推出的硬體設備與 RouterOS 被廣泛使用。此時此刻,網路上至少存在著 300 萬台使用 RouterOS 的設備;透過 2018 年 CIA 流出的 exploit 及之後的大規模利用事件,可以預見此類設備再次被惡意利用時會造成的巨大災難。因此 RouterOS 除了是攻擊者積極研究的目標,也吸引了許多研究員對其進行研究。然而近幾年 RouterOS 的高危險漏洞似乎消失了,這個系統真能一蹴而就變得完美無缺嗎?當然不是,事實上,一些不為人知的細節可能被忽略了。
過往針對 RouterOS 的研究著眼於 jailbreak、IPC 中的 Nova Message 及對在野利用的分析,尤其針對 Nova Message 的研究報告了諸多 post-auth 的漏洞,然而其他與 Nova Binary 功能緊密相關的架構設計與底層物件卻因為過度複雜而不受重視,導致許多細節被長期遺漏。我們將透過介紹 socket callback、remote object 等機制在 RouterOS 中的實作,揭露更多關於 RouterOS 被忽視的攻擊面與實作細節,並講述我們如何因此在鮮少有人造訪的小徑盡頭找到了存在了九年並可通殺所有版本的 WAN pre-auth RCE 漏洞及 remote object 所造成的 race condition,我們將分享研究方法、相關 pattern,使聽眾對於 RouterOS 被忽視的攻擊面與其鮮少被提及的實作細節有更深刻的理解。
透過深入探討 RouterOS 的系統設計,聽眾將更加了解該系統的運作原理與攻擊面,並以更踏實的方法進行檢視。同時,我們將開源一系列工具和方法,幫助白帽駭客繼續研究 RouterOS,使其不再晦澀難懂。
陳廷宇,暱稱逆逆(NiNi),是 DEVCORE 的資安研究員,同時也是 Balsn CTF 團隊的成員、TWN48 一期生。他與 DEVCORE 團隊在 Pwn2Own Toronto 2022 中贏得了「Master of Pwn」的頭銜。NiNi 在 CTF 比賽中也取得了顯著的成就,分別作為 HITCON⚔BFKinesiS 和 HITCON⚔Balsn 團隊的成員,在 DEF CON CTF 27 和 28 中獲得了第二名和第三名的名次。目前,NiNi 投身於漏洞研究和逆向工程,持續精進他的技能。您可以通過他的 Twitter 帳號 @terrynini38514 或者他的部落格 http://blog.terrynini.tw/ 了解他最新的發現和心得。