Эксперты из VulnCheck выяснили, что критический баг (уязвимость CVE-2023-30799) с возможностью повышения привилегий до «Суперадмина» (Super Admin) ставит под угрозу 926 тыс. устройств MikroTik по всему миру.
Эксперты пояснили, что с помощью уязвимости CVE-2023-30799 злоумышленники могут удалённо с существующей учётной записью администратора повысить свои привилегии до «Суперадминистратора» через интерфейс Winbox (клиент для управления устройствами на базе Mikrotik RouterOS) или HTTP, а далее получить полный доступ к операционной системе RouteOS на сетевом устройстве.
Массовая эксплуатация бага ограничена тем, что хакерам необходимо получить учётные данные администраторов, но это вполне реализуемо, так как Mikrotik RouterOS не имеет защиты от брутфорса и поставлялся ранее с дефолтным аккаунтом admin. До октября 2021 года пароль администратора по умолчанию был пустой строкой, а эту проблему исправили только с релизом RouterOS 6.49. По данным исследователей, около 60% устройств MikroTik всё ещё используют эту учётную запись, хотя производитель давно рекомендует её удалить при первой настройке.
Об уязвимости CVE-2023-30799 стало известно в июне 2022 года. Разработчики из MikroTik выпустили обновления безопасности для RouterOS v6.49.7 и v6.49.8, где баг устранён. Оказалось, что спустя год множество устройств MikroTik в сети интернет до сих пор подвержены атаке, так как их администраторы не обновили сетевые устройства.
Злоумышленники для проведения атак на подверженные уязвимости устройства используют эксплойты на базе FOISted RouterOS от Margin Research. Такие эксплойты обходят требование раскрытия интерфейса FTP, и на них не влияет блокировка или фильтрация биндшеллов, поскольку хакеры используют веб-интерфейс RouterOS для загрузки файлов. В итоге всех преобразований с ROP и вызовом dlopen, эксплойты получили широкую применимость для разных версий RouterOS.
Профильные ИБ-специалисты с помощью Shodan обнаружили более 474 тыс. уязвимых устройств MikroTik, а если использовать уязвимость через Winbox, то их число составляет почти 926 тыс.
Эксперты из VulnCheck просят администраторов немедленно обновить Mikrotik RouterOS, поскольку число попыток атак хакеров по этой уязвимости, вероятно, в ближайшее время возрастёт.
В качестве рекомендации по смягчению последствий использования уязвимости эксперты предлагают пользователям Mikrotik удалить административные интерфейсы из интернета, ограничить IP-адреса для входа списком разрешений, а также отключить Winbox в пользу SSH.
