A vulnerabilidade do MikroTik pode ser usada para sequestrar 900.000 roteadores (CVE

Uma vulnerabilidade de escalonamento de privilégios (CVE-2023-30799) pode permitir que invasores comandem até 900.000 roteadores MikroTik, diz o pesquisador do VulnCheck, Jacob Baines.

Embora a exploração exija autenticação, adquirir credenciais para acessar os roteadores não é tão difícil.

“RouterOS [o sistema operacional subjacente] vem com um usuário 'admin' totalmente funcional. A orientação de proteção diz aos administradores para excluir o usuário ‘admin’, mas sabemos que um grande número de instalações não o fez”, explicou Baines. “Investigamos uma amostra de hosts no Shodan (n=5.500) e descobrimos que quase 60% ainda usavam o usuário administrador padrão.”

Além disso, até outubro de 2021, a senha “admin” padrão era uma string vazia e não havia solicitação para os administradores alterá-la.

“Mesmo quando um administrador define uma nova senha, o RouterOS não impõe nenhuma restrição. Os administradores são livres para definir qualquer senha que escolherem, não importa quão simples seja. Isso é particularmente lamentável porque o sistema não oferece nenhuma proteção contra força bruta (exceto na interface SSH)”, acrescentou.

O interessante sobre CVE-2023-30799 não é que seja um bug que permite a elevação de privilégios, mas que permite que invasores obtenham privilégios de “superadministrador”, o que lhes permite acesso total ao sistema operacional do dispositivo e, potencialmente, fazer alterações indetectáveis ​​nele.

Embora a vulnerabilidade tenha recebido um número CVE este ano, sua existência é conhecida desde junho de 2022, quando Ian Dupont e Harrison Green da Margin Research lançaram um exploit chamado FOISted que pode obter um shell de root na máquina virtual RouterOS x86.

A vulnerabilidade foi corrigida na ramificação estável do RouterOS no final daquele ano (a correção foi enviada na v6.49.7), mas não na ramificação de longo prazo do RouterOS, que consiste em uma versão menos atual, mas ainda amplamente usada do sistema operacional.

Um patch para RouterOS Long-term foi lançado na semana passada, depois que os pesquisadores portaram e demonstraram o exploit FOISted funcionando em dispositivos MikroTik baseados em MIPS, por meio de sua interface web ou Winbox.

“No total, o Shodan indexa aproximadamente 500.000 e 900.000 sistemas RouterOS vulneráveis ​​ao CVE-2023-30799 por meio de suas interfaces web e/ou Winbox, respectivamente”, observou Baines.

Eles não tornaram a exploração pública, mas a corrida começou; no passado, os invasores comprometeram os roteadores MikroTik para uma variedade de fins nefastos (criptojacking, configuração de proxies de comunicação C2, entrega de exploração).

Além disso, é possível que os invasores já tenham desenvolvido uma exploração e a tenham usado sem serem notados.

“Em circunstâncias normais, diríamos que a detecção de exploração é um bom primeiro passo para proteger os seus sistemas. Infelizmente, a detecção é quase impossível. As interfaces web e Winbox do RouterOS implementam esquemas de criptografia personalizados que nem o Snort nem o Suricata podem descriptografar e inspecionar. Depois que um invasor é estabelecido no dispositivo, ele pode facilmente se tornar invisível para a interface do RouterOS”, compartilhou Baines.

“A Microsoft publicou um conjunto de ferramentas que identifica possíveis alterações maliciosas na configuração, mas as alterações na configuração não são necessárias quando o invasor tem acesso root ao sistema.”

Administradores/usuários de roteadores MikroTik são aconselhados a atualizar para uma versão fixa (estável ou de longo prazo) e, em geral, minimizar a superfície de ataque para evitar este tipo e ataques semelhantes por atores remotos.

Eles podem fazer isso removendo as interfaces administrativas do MikroTik da Internet, restringindo os endereços IP a partir dos quais os administradores podem fazer login ou desativando o Winbox e as interfaces da web, diz Baines. “Use SSH apenas para administração. Configure o SSH para usar chaves públicas/privadas e desabilitar senhas.”