Router MikroTik di Vietnam rentan terhadap serangan

Menurut BleepingComputer , kerentanan pada router MikroTik yang diberi pengenal CVE-2023-30799 memungkinkan penyerang jarak jauh dengan akun administrator yang ada untuk meningkatkan hak istimewa menjadi superadmin melalui Winbox atau antarmuka HTTP perangkat.

Sebelumnya, sebuah laporan dari perusahaan keamanan VulnCheck menjelaskan bahwa meskipun eksploitasi kerentanan memerlukan akun administrator, input untuk mengeksploitasi kerentanan tersebut berasal dari kata sandi default yang tidak diubah. Para peneliti mengatakan bahwa router tidak memiliki perlindungan dasar terhadap tebakan kata sandi.

VulnCheck tidak mempublikasikan bukti eksploitasi karena khawatir akan menjadi tutorial bagi peretas jahat. Para peneliti mengatakan bahwa hingga 60% perangkat MikroTik masih menggunakan akun admin default.

MikroTik adalah merek asal Latvia yang berspesialisasi dalam perangkat jaringan, yang berjalan pada sistem operasi MikroTik RouterOS. Saat menggunakannya, pengguna dapat mengakses halaman administrasi melalui antarmuka web atau aplikasi Winbox untuk mengonfigurasi dan mengelola jaringan LAN atau WAN.

Biasanya, akun login awal ditetapkan oleh produsen sebagai "admin" dan merupakan kata sandi default untuk sebagian besar produk. Hal ini merupakan risiko yang menyebabkan perangkat rentan terhadap serangan.

Kerentanan CVE-2023-30799 pertama kali diungkapkan tanpa pengenal pada bulan Juni 2022 dan MikroTik memperbaiki masalah tersebut pada bulan Oktober 2022 melalui RouterOS stabil v6.49.7 dan pada tanggal 19 Juli 2023 untuk RouterOS jangka panjang (v6.49.8).

Para peneliti menemukan 474.000 perangkat rentan ketika perangkat-perangkat tersebut terpapar dari jarak jauh ke halaman manajemen berbasis web. VulnCheck melaporkan bahwa versi Jangka Panjang baru ditambal ketika tim berhasil menghubungi produsen dan membagikan cara menyerang perangkat keras MikroTik.

Karena kerentanan tersebut juga dapat dieksploitasi pada aplikasi Winbox, para peneliti mengatakan bahwa sekitar 926.000 perangkat memiliki port manajemen yang terekspos, sehingga dampaknya menjadi jauh lebih luas.

Menurut para ahli WhiteHat, penyebab utama kerentanan ini berasal dari dua faktor: pengguna dan produsen. Pengguna yang membeli perangkat seringkali mengabaikan rekomendasi keamanan produsen dan "lupa" mengganti kata sandi default perangkat. Namun, bahkan setelah mengganti kata sandi, masih ada risiko lain dari produsen. MikroTik belum dilengkapi solusi keamanan apa pun terhadap serangan tebak kata sandi (brute-force) pada sistem operasi MikroTik RouterOS. Oleh karena itu, peretas dapat menggunakan alat untuk menebak nama akses dan kata sandi tanpa tercegah.

Lebih jauh lagi, MikroTik juga memperbolehkan pengaturan kata sandi admin kosong dan membiarkan masalah ini tidak teratasi hingga Oktober 2021 ketika mereka merilis RouterOS 6.49 untuk mengatasinya.

Untuk meminimalkan risiko, para ahli WhiteHat menyarankan agar pengguna segera memperbarui patch terbaru untuk RouterOS, dan juga dapat menerapkan solusi tambahan seperti memutus koneksi internet pada antarmuka administrasi untuk mencegah akses jarak jauh, dan menetapkan kata sandi yang kuat jika halaman administrasi harus dipublikasikan.