Μια κρίσιμη ‘Super Admin’ ευπάθεια, που επιτρέπει το privilege elevation, θέτει σε κίνδυνο 900.000 MikroTik RouterOS routers. Η ευπάθεια θα μπορούσε να επιτρέψει στους επιτιθέμενους να αναλάβουν τον πλήρη έλεγχο μιας συσκευής και να παραμείνουν απαρατήρητοι.
Η ευπάθεια παρακολουθείται ως CVE-2023-30799 και επιτρέπει σε απομακρυσμένους εισβολείς με υπάρχοντα λογαριασμό διαχειριστή, να αυξήσουν τα προνόμιά τους σε “super-admin” μέσω του Winbox ή του HTTP interface της συσκευής.
Μια νέα αναφορά της VulnCheck εξηγεί ότι ενώ η ευπάθεια CVE-2023-30799 απαιτεί έναν υπάρχοντα λογαριασμό διαχειριστή, δεν πρέπει να εφησυχάζουμε. Το λειτουργικό σύστημα Mikrotik RouterOS δυστυχώς δεν αποτρέπει τις password brute-force επιθέσεις και συνοδεύεται από ένα γνωστό default “admin” user.
Δείτε επίσης: Χιλιάδες εταιρικά credentials έχουν κλαπεί μέσω info-stealing malware
“Η “μαζική” εκμετάλλευση θα είναι πιο δύσκολη αφού απαιτούνται έγκυρα διαπιστευτήρια. Ωστόσο, όπως ανέφερα στο ιστολόγιο, οι routers δεν διαθέτουν βασικές προστασίες κατά της εικασίας κωδικών πρόσβασης“, δήλωσε ο ερευνητής της VulnCheck, Jacob Baines, στο BleepingComputer.
“Εσκεμμένα δεν κυκλοφορήσαμε ένα proof-of-concept exploit, αλλά αν το είχαμε κάνει, δεν έχω καμία αμφιβολία ότι το exploit θα είχε χρησιμοποιηθεί επιτυχώς αμέσως μετά την κυκλοφορία του blog“.
Η ευπάθεια CVE-2023-30799 που επηρεάζει τους routers αποκαλύφθηκε για πρώτη φορά τον Ιούνιο του 2022 και η MikroTik διόρθωσε το πρόβλημα τον Οκτώβριο του 2022 για το RouterOS stable (v6.49.7) και στις 19 Ιουλίου 2023, για το RouterOS Long-term (v.86.49.86).
Οι ερευνητές χρησιμοποίησαν το Shodan για να προσδιορίσουν τον αντίκτυπο αυτής της κρίσιμης ευπάθειας και διαπίστωσαν ότι 474.000 συσκευές ήταν ευάλωτες. Ωστόσο, δεδομένου ότι αυτή η ευπάθεια μπορεί να χρησιμοποιηθεί και μέσω του Winbox, ενός Mikrotek management client, ο Baines διαπίστωσε ότι 926.000 συσκευές εκθέτουν αυτό το management port. Επομένως, τα πράγματα είναι πολύ πιο σοβαρά.
Δείτε επίσης: VMware: Διορθώνει bug που εκθέτει admin credentials του CF API στα audit logs
CVE-2023-30799
Ενώ η εκμετάλλευση αυτής της ευπάθειας απαιτεί έναν υπάρχοντα λογαριασμό διαχειριστή, επιτρέπει ένα υψηλότερο επίπεδο προνομίων που ονομάζεται “Super Admin”.
Σε αντίθεση με ένα admin account, που προσφέρει περιορισμένα αυξημένα προνόμια, το Super Admin παρέχει πλήρη πρόσβαση στο λειτουργικό σύστημα RouteOS.
“Με την κλιμάκωση σε super admin, ο εισβολέας μπορεί να φτάσει σε ένα code path που του επιτρέπει να ελέγξει τη διεύθυνση ενός function call“, είπε ο Baines στο BleepingComputer.
Το Super admin δεν είναι ένα προνόμιο που δίνεται σε κανονικούς διαχειριστές, είναι ένα προνόμιο που υποτίθεται ότι παρέχεται σε ορισμένα μέρη του υποκείμενου λογισμικού (συγκεκριμένα, σε αυτήν την περίπτωση, για τη φόρτωση libraries για το web interface) και όχι σε πραγματικούς χρήστες.
Γι’ αυτό το λόγο, η ευπάθεια αυτή είναι πολύτιμη για τους κυβερνοεγκληματίες που επιθυμούν να κάνουν “jailbreak” μια συσκευή με RouterOS, για να κάνουν σημαντικές αλλαγές στο υποκείμενο λειτουργικό σύστημα ή να αποκρύψουν τις δραστηριότητές τους.
Περισσότερες λεπτομέρειες για το πώς μπόρεσαν οι ερευνητές να αναπτύξουν ένα exploit για το CVE-2023-30799, μπορείτε να βρείτε στην έκθεση της VulnCheck.
Δείτε επίσης: Εντοπίστηκαν δύο κρίσιμες ευπάθειες AMI MegaRAC
Αξίζει να σημειωθεί ότι οι συσκευές MikroTik έχουν βρεθεί αρκετές φορές στο στόχαστρο hackers.
Οι χρήστες πρέπει να αναλάβουν δράση άμεσα για να επιδιορθώσουν την κρίσιμη ευπάθεια. Αν έχετε ένα MikroTik router, εφαρμόστε την πιο πρόσφατη ενημέρωση για το RouterOS. Πιστεύεται ότι οι προσπάθειες εκμετάλλευσης της ευπάθειας αναμένεται να αυξηθούν.
Κάποια βασικά μέτρα προστασίας περιλαμβάνουν την αφαίρεση administrative interfaces από το Διαδίκτυο, τον περιορισμό login IP addresses σε μια καθορισμένη allow-list, την απενεργοποίηση του Winbox, τη χρήση μόνο SSH και τη διαμόρφωση του SSH ώστε να χρησιμοποιεί public/private keys αντί για κωδικούς πρόσβασης.
Οι MikroTik routers είναι δημοφιλείς για την παροχή πλούσιων χαρακτηριστικών και ευελιξίας σε προσιτή τιμή. Ωστόσο, η ευπάθεια CVE-2023-30799 απεικονίζει την κρισιμότητα της διασφάλισης των συσκευών αυτών. Είναι ιδιαίτερα σημαντικό για τους χρήστες να διατηρούν τα συστήματά τους ενημερωμένα με τις τελευταίες εκδόσεις του λογισμικού και να ακολουθούν τις βέλτιστες πρακτικές ασφαλείας.
Πηγή: www.bleepingcomputer.com
