Uma vulnerabilidade de escalonamento de privilégios (CVE-2023-30799) pode permitir que invasores controlem até 900.000 roteadores MikroTik, diz Jacob Baines, pesquisador da VulnCheck.
Embora a exploração exija autenticação, adquirir credenciais para acessar os roteadores não é tão difícil.
“O RouterOS [o sistema operacional subjacente] vem com um usuário ‘admin’ totalmente funcional. A orientação de proteção diz aos administradores para excluir o usuário ‘admin’, mas sabemos que um grande número de instalações não o fez”, explicou Baines . “Examinamos uma amostra de hosts no Shodan (n=5500) e descobrimos que quase 60% ainda usavam o usuário administrador padrão.”
Além disso, até outubro de 2021, a senha padrão de “admin” era uma string vazia e não havia solicitação para que os administradores a alterassem.
“Mesmo quando um administrador define uma nova senha, o RouterOS não impõe nenhuma restrição. Os administradores são livres para definir qualquer senha que escolherem, por mais simples que seja. Isso é particularmente lamentável porque o sistema não oferece proteção contra força bruta (exceto na interface SSH)”, acrescentou.
Sobre CVE-2023-30799
O interessante sobre o CVE-2023-30799 não é que seja um bug que permite a elevação de privilégio, mas que permite aos invasores obter privilégios de “super-administrador”, o que lhes permite acesso total ao sistema operacional do dispositivo e, potencialmente, fazer alterações indetectáveis nele.
Embora a vulnerabilidade tenha recebido um número CVE este ano, sua existência é conhecida desde junho de 2022, quando Ian Dupont e Harrison Green, da Margin Research, lançaram um exploit chamado FOISted que pode obter um shell root na máquina virtual RouterOS x86.
A vulnerabilidade foi corrigida no ramo estável do RouterOS no final daquele ano (a correção foi lançada na v6.49.7), mas não no ramo de longo prazo do RouterOS, que consiste em uma versão menos atual, mas ainda amplamente usada do sistema operacional.
Um patch para o RouterOS Long-term foi lançado na semana passada, depois que os pesquisadores portaram e demonstraram o exploit FOISted funcionando em dispositivos MikroTik baseados em MIPS por meio de sua interface web ou Winbox.
O que fazer?
“No total, Shodan indexa aproximadamente 500.000 e 900.000 sistemas RouterOS vulneráveis ao CVE-2023-30799 por meio de suas interfaces web e/ou Winbox, respectivamente”, observou Baines.
Eles não tornaram o exploit público, mas a corrida começou; no passado, os invasores comprometeram os roteadores MikroTik para uma variedade de fins nefastos ( criptojacking , configuração de proxies de comunicação C2 , entrega de exploração ).
Além disso, é possível que os invasores já tenham desenvolvido um exploit e o estejam usando sem serem notados.
“Sob circunstâncias normais, diríamos que a detecção de exploração é um bom primeiro passo para proteger seus sistemas. Infelizmente, a detecção é quase impossível. As interfaces web e Winbox do RouterOS implementam esquemas de criptografia personalizados que nem o Snort nem o Suricata podem descriptografar e inspecionar. Depois que um invasor é estabelecido no dispositivo, ele pode se tornar facilmente invisível para a interface do usuário do RouterOS”, compartilhou Baines.
“A Microsoft publicou um conjunto de ferramentas que identifica possíveis alterações de configuração maliciosas, mas as alterações de configuração não são necessárias quando o invasor tem acesso root ao sistema.”
Os administradores/usuários dos roteadores MikroTik são aconselhados a atualizar para uma versão fixa (estável ou de longo prazo) e, em geral, minimizar a superfície de ataque para evitar esse tipo e ataques semelhantes por agentes remotos.
Eles podem fazer isso removendo as interfaces administrativas do MikroTik da Internet, restringindo quais endereços IP os administradores podem fazer login ou desativando o Winbox e as interfaces da Web, diz Baines. “Use SSH apenas para administração. Configure o SSH para usar chaves públicas/privadas e desativar senhas.”
Fonte: https://blog.neotel.com.br/2023/07/27/a-vulnerabilidade-do-mikrotik-pode-ser-usada-para-sequestrar-900-000-roteadores-cve-2023-30799/