Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
ДомУязвимость MikroTik может быть использована для взлома 900 000 маршрутизаторов (CVE
Уязвимость повышения привилегий (CVE-2023-30799) может позволить злоумышленникам захватить до 900 000 маршрутизаторов MikroTik, говорит исследователь VulnCheck Джейкоб Бэйнс.
Хотя для его использования требуется аутентификация, получить учетные данные для доступа к маршрутизаторам не так уж и сложно.
«RouterOS [основная операционная система] поставляется с полнофункциональным пользователем «администратор». Руководство по усилению защиты предписывает администраторам удалить пользователя «admin», но мы знаем, что во многих случаях этого не происходит», — пояснил Бэйнс. «Мы исследовали выборку хостов Shodan (n = 5500) и обнаружили, что почти 60% по-прежнему используют администратора по умолчанию».
Кроме того, до октября 2021 года пароль администратора по умолчанию представлял собой пустую строку, и администраторам не предлагалось его изменить.
«Даже когда администратор установил новый пароль, RouterOS не налагает никаких ограничений. Администраторы могут устанавливать любой пароль по своему выбору, каким бы простым он ни был. Это особенно прискорбно, поскольку система не предлагает никакой защиты от перебора (за исключением интерфейса SSH)», — добавил он.
Интересная особенность CVE-2023-30799 заключается не в том, что эта ошибка позволяет повысить привилегии, а в том, что она позволяет злоумышленникам получить привилегии «суперадминистратора», что дает им полный доступ к ОС устройства и, потенциально, внести в него незаметные изменения.
Несмотря на то, что уязвимость получила номер CVE в этом году, о ее существовании известно с июня 2022 года, когда Ян Дюпон и Харрисон Грин из Margin Research выпустили эксплойт под названием FOISted, который позволяет получить корневую оболочку на виртуальной машине RouterOS x86.
Уязвимость была исправлена в стабильной ветке RouterOS позже в том же году (исправление было выпущено в версии 6.49.7), но не в долгосрочной ветке RouterOS, которая состоит из менее актуальной, но все еще широко используемой версии ОС.
Патч для RouterOS Long-term был выпущен на прошлой неделе после того, как исследователи портировали и продемонстрировали эксплойт FOISted, работающий на устройствах MikroTik на базе MIPS либо через веб-интерфейс, либо через Winbox-интерфейс.
«В общей сложности Shodan индексирует примерно 500 000 и 900 000 систем RouterOS, уязвимых для CVE-2023-30799 через их веб-интерфейсы и/или Winbox-интерфейсы соответственно», — отметил Бэйнс.
Они не обнародовали этот эксплойт, но гонка продолжается; В прошлом злоумышленники компрометировали маршрутизаторы MikroTik для различных гнусных целей (криптоджекинг, настройка коммуникационных прокси C2, доставка эксплойтов).
Кроме того, вполне возможно, что злоумышленники уже разработали эксплойт и использовали его, не будучи замеченными.
«В обычных обстоятельствах мы бы сказали, что обнаружение эксплуатации является хорошим первым шагом к защите ваших систем. К сожалению, обнаружение практически невозможно. Веб-интерфейсы RouterOS и Winbox реализуют собственные схемы шифрования, которые ни Snort, ни Suricata не могут расшифровать и проверить. Как только злоумышленник установится на устройстве, он сможет легко стать невидимым для пользовательского интерфейса RouterOS», — поделился Бейнс.
«Майкрософт опубликовала набор инструментов, который выявляет потенциально вредоносные изменения конфигурации, но в изменениях конфигурации нет необходимости, когда злоумышленник имеет root-доступ к системе».
Администраторам/пользователям маршрутизаторов MikroTik рекомендуется выполнить обновление до фиксированной версии (стабильной или долгосрочной) и, в целом, минимизировать поверхность атаки, чтобы предотвратить этот тип и подобные атаки со стороны удаленных субъектов.
«Они могут сделать это, удалив административные интерфейсы MikroTik из Интернета, ограничив IP-адреса, с которых администраторы могут входить в систему, или отключив Winbox и веб-интерфейсы», — говорит Бэйнс. «Используйте SSH только для администрирования. Настройте SSH для использования открытых/закрытых ключей и отключения паролей».