Ozbiljni problem eskalacije privilegija koji utiče na MikroTik RouterOS mogao bi biti naoružan od strane udaljenih malicioznih hakera kako bi izvršili proizvoljni kod i preuzeli potpunu kontrolu nad ranjivim uređajima.
Sistematizovan kao CVE-2023-30799 (CVSS rezultat: 9,1), očekuje se da će nedostatak dovesti u opasnost oko 500.000 i 900.000 RouterOS sistema preko njihovih web i/ili Winbox interfejsa, VulnCheck je otkrio u izvještaju od utorka.
“CVE-2023-30799 zahtijeva autentifikaciju,” rekao je istraživač sigurnosti Jacob Baines . “U stvari, sama ranjivost je jednostavna eskalacija privilegija sa administratora na ‘super-admin’, što rezultira pristupom proizvoljnoj funkciji. Pribavljanje akreditiva za RouterOS sisteme je lakše nego što bi se moglo očekivati.”
To je zato što Mikrotik RouterOS operativni sistem ne nudi nikakvu zaštitu lozinkom od napada grubom silom i isporučuje se sa dobro poznatim podrazumjevanim “admin” korisnikom, a njegova lozinka je bila prazan niz do oktobra 2021. godine, u kom trenutku je administratorima zatraženo da ažuriraju prazne lozinke izdanjem RouterOS-a 6.49.
Rečeno je da je CVE-2023-30799 prvobitno otkriven od strane Margin Researcha kao eksploatacija nazvana FOISted bez pratećeg CVE identifikatora u junu 2022. godine. Sigurnosna rupa, međutim, nije začepljena do 13. oktobra 2022. godine u stabilnoj verziji RouterOS-a 6.49 .7 i 19. jula 2023. godine za RouterOS Longterm verziju 6.49.8.
VulnCheck je napomenuo da je zakrpa za stablo dugoročnog izdanja postala dostupna tek nakon što je direktno kontaktirala dobavljača i “objavila nove eksploatacije koje su napale širi spektar MikroTik hardvera.”
Dokaz koncepta (PoC) koji je osmislila kompanija pokazuje da je moguće izvesti novi lanac eksploatacije zasnovan na MIPS arhitekturi od FOISted-a i dobiti root shell na ruteru.
“S obzirom na dugu istoriju RouterOS-a kao APT meta, u kombinaciji sa činjenicom da je FOISted objavljen prije više od godinu dana, moramo pretpostaviti da nismo prva grupa koja je ovo shvatila”, primijetio je Baines.
“Nažalost, otkrivanje je gotovo nemoguće. RouterOS web i Winbox interfejsa implementiraju prilagođene šeme šifriranja koje ni Snort ni Suricata ne mogu dešifrirati i provjeriti. Jednom kada se napadač uspostavi na uređaju, oni se lako mogu učiniti nevidljivim korisničkom interfejsu RouterOS-a.”
S obzirom na nedostatke u MikroTik ruterima koji su iskorištavani kako bi se uređaji strpali u distribuirane botnete za uskraćivanje usluge (DDoS) kao što je Mēris i koristili ih kao proksije za naredbu i kontrolu, preporučuje se da korisnici zakrpe grešku ažuriranjem na najnoviju verziju (6.49 .8 ili 7.x) što je prije moguće.
Savjeti za ublažavanje uključuju uklanjanje MikroTik administrativnih interfejsa s interneta, ograničavanje IP adresa s kojih se administratori mogu prijaviti, onemogućavanje Winboxa i web interfejsa i konfiguriranje SSH-a za korištenje javnih/privatnih ključeva i onemogućavanje lozinki.
Izvor: The Hacker News
