Τα ρούτερ MikroTik στο Βιετνάμ είναι ευάλωτα σε επιθέσεις

Σύμφωνα με το BleepingComputer , η ευπάθεια στους δρομολογητές MikroTik που έχει εκχωρηθεί με το αναγνωριστικό CVE-2023-30799 επιτρέπει σε έναν απομακρυσμένο εισβολέα με υπάρχοντα λογαριασμό διαχειριστή να αναβαθμίσει τα δικαιώματα σε superadmin μέσω της διεπαφής Winbox ή HTTP της συσκευής.

Προηγουμένως, μια αναφορά από την εταιρεία ασφαλείας VulnCheck εξήγησε ότι παρόλο που η εκμετάλλευση της ευπάθειας απαιτεί λογαριασμό διαχειριστή, η είσοδος για την εκμετάλλευση της ευπάθειας προέρχεται από το γεγονός ότι ο προεπιλεγμένος κωδικός πρόσβασης δεν έχει αλλάξει. Οι ερευνητές ανέφεραν ότι οι δρομολογητές δεν διαθέτουν βασικές προστασίες κατά της εικασίας κωδικού πρόσβασης.

Το VulnCheck δεν δημοσιεύει αποδεικτικά στοιχεία εκμετάλλευσης από φόβο μήπως γίνει εκπαιδευτικό βοήθημα για κακόβουλους χάκερ. Οι ερευνητές λένε ότι έως και το 60% των συσκευών MikroTik εξακολουθούν να χρησιμοποιούν τον προεπιλεγμένο λογαριασμό διαχειριστή.

Η MikroTik είναι μια μάρκα από τη Λετονία που ειδικεύεται σε συσκευές δικτύου, οι οποίες λειτουργούν με το λειτουργικό σύστημα MikroTik RouterOS. Κατά τη χρήση, οι χρήστες μπορούν να έχουν πρόσβαση στη σελίδα διαχείρισης τόσο στη διεπαφή ιστού όσο και στην εφαρμογή Winbox για να διαμορφώσουν και να διαχειριστούν δίκτυα LAN ή WAN.

Συνήθως, ο αρχικός λογαριασμός σύνδεσης ορίζεται από τον κατασκευαστή ως "admin" και αποτελεί προεπιλεγμένο κωδικό πρόσβασης για τα περισσότερα προϊόντα. Αυτός είναι ένας κίνδυνος που καθιστά τη συσκευή ευάλωτη σε επιθέσεις.

Η ευπάθεια CVE-2023-30799 αποκαλύφθηκε για πρώτη φορά χωρίς αναγνωριστικό τον Ιούνιο του 2022 και η MikroTik διόρθωσε το πρόβλημα τον Οκτώβριο του 2022 μέσω της σταθερής έκδοσης RouterOS v6.49.7 και στις 19 Ιουλίου 2023 για το μακροπρόθεσμο RouterOS (v6.49.8).

Οι ερευνητές ανακάλυψαν 474.000 ευάλωτες συσκευές όταν αυτές εκτέθηκαν εξ αποστάσεως στη σελίδα διαχείρισης μέσω διαδικτύου. Το VulnCheck αναφέρει ότι η έκδοση Long-Term ενημερώθηκε μόνο όταν η ομάδα κατάφερε να επικοινωνήσει με τον κατασκευαστή και να μοιραστεί τον τρόπο επίθεσης στο υλικό MikroTik.

Δεδομένου ότι η ευπάθεια μπορεί επίσης να αξιοποιηθεί στην εφαρμογή Winbox, οι ερευνητές λένε ότι περίπου 926.000 συσκευές έχουν εκτεθειμένη τη θύρα διαχείρισής τους, καθιστώντας τον αντίκτυπο πολύ ευρύτερο.

Σύμφωνα με τους ειδικούς της WhiteHat, η κύρια αιτία της ευπάθειας προέρχεται από δύο παράγοντες: τους χρήστες και τους κατασκευαστές. Οι χρήστες που αγοράζουν συσκευές συχνά αγνοούν τις συστάσεις ασφαλείας του κατασκευαστή και «ξεχνούν» να αλλάξουν τον προεπιλεγμένο κωδικό πρόσβασης της συσκευής. Αλλά ακόμη και μετά την αλλαγή του κωδικού πρόσβασης, εξακολουθούν να υπάρχουν άλλοι κίνδυνοι από τον κατασκευαστή. Η MikroTik δεν έχει εξοπλίσει καμία λύση ασφαλείας κατά των επιθέσεων εικασίας κωδικών πρόσβασης (brute-force) στο λειτουργικό σύστημα MikroTik RouterOS. Οι χάκερ μπορούν επομένως να χρησιμοποιήσουν εργαλεία για να μαντέψουν ονόματα πρόσβασης και κωδικούς πρόσβασης χωρίς να εμποδίζονται.

Επιπλέον, η MikroTik επέτρεψε επίσης τον ορισμό ενός κενού κωδικού πρόσβασης διαχειριστή και άφησε αυτό το πρόβλημα ανεπίλυτο μέχρι τον Οκτώβριο του 2021, όταν κυκλοφόρησε το RouterOS 6.49 για να το αντιμετωπίσει.

Για την ελαχιστοποίηση των κινδύνων, οι ειδικοί της WhiteHat συνιστούν στους χρήστες να ενημερώσουν αμέσως την πιο πρόσφατη ενημέρωση κώδικα για το RouterOS και να εφαρμόσουν πρόσθετες λύσεις, όπως η αποσύνδεση του διαδικτύου στη διεπαφή διαχείρισης για την αποτροπή της απομακρυσμένης πρόσβασης και ο ορισμός ισχυρών κωδικών πρόσβασης εάν η σελίδα διαχείρισης πρέπει να δημοσιοποιηθεί.