Les routeurs MikroTik au Vietnam sont vulnérables aux attaques

Selon BleepingComputer , la vulnérabilité des routeurs MikroTik, identifiée par CVE-2023-30799, permet à un attaquant distant disposant d'un compte administrateur existant d'élever ses privilèges au niveau de superadministrateur via l'interface Winbox ou HTTP du périphérique.

Un rapport de la société de sécurité VulnCheck expliquait précédemment que, bien que l'exploitation de cette vulnérabilité nécessite un compte administrateur, elle est possible car le mot de passe par défaut n'est pas modifié. Les chercheurs ont indiqué que les routeurs ne disposent pas de protections élémentaires contre le piratage de mots de passe.

VulnCheck ne publie pas de preuves d'exploitation, craignant que cela ne serve de tutoriel aux pirates informatiques. Les chercheurs indiquent que jusqu'à 60 % des appareils MikroTik utilisent encore le compte administrateur par défaut.

MikroTik est une marque lettone spécialisée dans les équipements réseau, fonctionnant sous le système d'exploitation MikroTik RouterOS. Les utilisateurs peuvent accéder à la page d'administration via l'interface web ou l'application Winbox pour configurer et gérer les réseaux LAN ou WAN.

En règle générale, le compte de connexion initial est défini par le fabricant comme « admin » et un mot de passe par défaut est utilisé pour la plupart des produits. Cela représente un risque, car l'appareil est alors vulnérable aux attaques.

La vulnérabilité CVE-2023-30799 a été divulguée pour la première fois sans identifiant en juin 2022 et MikroTik a corrigé le problème en octobre 2022 via RouterOS stable v6.49.7 et le 19 juillet 2023 pour RouterOS long-term (v6.49.8).

Des chercheurs ont découvert 474 000 appareils vulnérables en accédant à distance à leur page de gestion web. VulnCheck indique que la version Long-Term n'a été corrigée qu'après que l'équipe a réussi à contacter le fabricant et à lui révéler la méthode d'attaque du matériel MikroTik.

Étant donné que cette vulnérabilité peut également être exploitée sur l'application Winbox, les chercheurs affirment qu'environ 926 000 appareils ont leur port de gestion exposé, ce qui amplifie considérablement l'impact.

Selon les experts de WhiteHat, la vulnérabilité provient principalement de deux facteurs : les utilisateurs et les fabricants. Les utilisateurs qui achètent des appareils ignorent souvent les recommandations de sécurité du fabricant et « oublient » de modifier le mot de passe par défaut. Or, même après avoir changé le mot de passe, d’autres risques subsistent du côté du fabricant. MikroTik n’a intégré aucune solution de sécurité contre les attaques par force brute sur le système d’exploitation MikroTik RouterOS. Les pirates peuvent donc utiliser des outils pour deviner les identifiants et mots de passe sans rencontrer d’obstacles.

De plus, MikroTik autorisait également la définition d'un mot de passe administrateur vide et a laissé ce problème sans solution jusqu'en octobre 2021, date à laquelle ils ont publié RouterOS 6.49 pour le corriger.

Pour minimiser les risques, les experts de WhiteHat recommandent aux utilisateurs de mettre à jour immédiatement le dernier correctif pour RouterOS, et peuvent également mettre en œuvre des solutions supplémentaires telles que la déconnexion d'Internet sur l'interface d'administration pour empêcher l'accès à distance, et la définition de mots de passe forts si la page d'administration doit être rendue publique.