Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
CasaLa vulnerabilità MikroTik potrebbe essere utilizzata per dirottare 900.000 router (CVE
Una vulnerabilità di escalation dei privilegi (CVE-2023-30799) potrebbe consentire agli aggressori di requisire fino a 900.000 router MikroTik, afferma il ricercatore di VulnCheck Jacob Baines.
Sebbene lo sfruttamento richieda l'autenticazione, l'acquisizione delle credenziali per accedere ai router non è così difficile.
“RouterOS [il sistema operativo sottostante] viene fornito con un utente 'amministratore' completamente funzionale. Le linee guida per il rafforzamento dicono agli amministratori di eliminare l'utente 'admin', ma sappiamo che un gran numero di installazioni non lo fanno", ha spiegato Baines. "Abbiamo analizzato un campione di host su Shodan (n=5500) e abbiamo scoperto che quasi il 60% utilizzava ancora l'utente amministratore predefinito."
Oltre a ciò, fino a ottobre 2021, la password “admin” predefinita era una stringa vuota e non veniva richiesto agli amministratori di modificarla.
“Anche quando un amministratore ha impostato una nuova password, RouterOS non impone alcuna restrizione. Gli amministratori sono liberi di impostare la password che preferiscono, non importa quanto semplice. Ciò è particolarmente spiacevole perché il sistema non offre alcuna protezione dalla forza bruta (eccetto sull'interfaccia SSH)", ha aggiunto.
La cosa interessante di CVE-2023-30799 non è che si tratta di un bug che consente l'elevazione dei privilegi, ma che consente agli aggressori di ottenere privilegi di "super amministratore", che consentono loro di avere pieno accesso al sistema operativo del dispositivo e, potenzialmente, apportare modifiche non rilevabili ad esso.
Anche se quest'anno la vulnerabilità ha ricevuto un numero CVE, la sua esistenza è nota dal giugno 2022, quando Ian Dupont e Harrison Green di Margin Research hanno rilasciato un exploit chiamato FOISted che può ottenere una shell root sulla macchina virtuale RouterOS x86.
La vulnerabilità è stata corretta nel ramo stabile di RouterOS più tardi quell'anno (la correzione è stata fornita nella versione 6.49.7), ma non nel ramo a lungo termine di RouterOS, che consiste in una versione del sistema operativo meno attuale ma ancora ampiamente utilizzata.
La scorsa settimana è stata rilasciata una patch per RouterOS Long-term, dopo che i ricercatori hanno portato e dimostrato che l'exploit FOISted funziona su dispositivi MikroTik basati su MIPS tramite la sua interfaccia web o Winbox.
"In totale, Shodan indicizza circa 500.000 e 900.000 sistemi RouterOS vulnerabili a CVE-2023-30799 rispettivamente tramite le loro interfacce web e/o Winbox", ha osservato Baines.
Non hanno reso pubblica l'impresa, ma la corsa è aperta; in passato, gli aggressori hanno compromesso i router MikroTik per una serie di scopi nefasti (cryptojacking, impostazione di proxy di comunicazione C2, consegna di exploit).
Inoltre, è possibile che gli aggressori abbiano già sviluppato un exploit e lo abbiano utilizzato senza farsi notare.
“In circostanze normali, diremmo che il rilevamento degli exploit è un buon primo passo per proteggere i vostri sistemi. Sfortunatamente, il rilevamento è quasi impossibile. Le interfacce web e Winbox di RouterOS implementano schemi di crittografia personalizzati che né Snort né Suricata possono decrittografare e ispezionare. Una volta che un utente malintenzionato si è insediato nel dispositivo, può facilmente rendersi invisibile all’interfaccia utente di RouterOS”, ha condiviso Baines.
"Microsoft ha pubblicato un set di strumenti che identifica potenziali modifiche dannose alla configurazione, ma le modifiche alla configurazione non sono necessarie quando l'aggressore ha accesso root al sistema."
Si consiglia agli amministratori/utenti dei router MikroTik di eseguire l'aggiornamento a una versione fissa (stabile o a lungo termine) e, in generale, di ridurre al minimo la superficie di attacco per prevenire questo tipo e attacchi simili da parte di attori remoti.
Possono farlo rimuovendo le interfacce amministrative MikroTik da Internet, limitando gli indirizzi IP da cui gli amministratori possono accedere o disabilitando Winbox e le interfacce web, afferma Baines. “Utilizzare SSH solo per l'amministrazione. Configura SSH per utilizzare chiavi pubbliche/private e disabilitare le password.