MikroTik-Sicherheitslücke könnte zur Kaperung von 900.000 Routern genutzt werden (CVE
Eine Sicherheitslücke zur Rechteausweitung (CVE-2023-30799) könnte es Angreifern ermöglichen, bis zu 900.000 MikroTik-Router zu übernehmen, sagt VulnCheck-Forscher Jacob Baines.
Für die Ausnutzung ist zwar eine Authentifizierung erforderlich, die Beschaffung von Anmeldeinformationen für den Zugriff auf die Router ist jedoch nicht so schwierig.
„RouterOS [das zugrunde liegende Betriebssystem] wird mit einem voll funktionsfähigen ‚Administrator‘-Benutzer ausgeliefert. Die Richtlinien zur Härtung fordern Administratoren auf, den Benutzer „admin“ zu löschen, aber wir wissen, dass dies bei einer großen Anzahl von Installationen nicht der Fall ist“, erklärte Baines. „Wir haben eine Stichprobe von Hosts auf Shodan (n=5500) untersucht und festgestellt, dass fast 60 % immer noch den Standard-Administratorbenutzer verwendeten.“
Darüber hinaus war das standardmäßige „Administrator“-Passwort bis Oktober 2021 eine leere Zeichenfolge und es gab keine Aufforderung an Administratoren, es zu ändern.
„Selbst wenn ein Administrator ein neues Passwort festgelegt hat, erzwingt RouterOS keine Einschränkungen. Administratoren können jedes beliebige Passwort festlegen, egal wie einfach es ist. Das ist besonders bedauerlich, da das System keinen Brute-Force-Schutz bietet (außer auf der SSH-Schnittstelle)“, fügte er hinzu.
Das Interessante an CVE-2023-30799 ist nicht, dass es sich um einen Fehler handelt, der eine Rechteerweiterung ermöglicht, sondern dass er es Angreifern ermöglicht, „Super-Admin“-Rechte zu erlangen, die ihnen vollen Zugriff auf das Betriebssystem des Geräts und möglicherweise auf nicht erkennbare Änderungen daran vornehmen.
Obwohl die Schwachstelle in diesem Jahr eine CVE-Nummer erhielt, ist ihre Existenz seit Juni 2022 bekannt, als Ian Dupont und Harrison Green von Margin Research einen Exploit namens FOISted veröffentlichten, der eine Root-Shell auf der virtuellen Maschine RouterOS x86 erhalten kann.
Die Schwachstelle wurde später in diesem Jahr im stabilen Zweig von RouterOS behoben (der Fix wurde in Version 6.49.7 ausgeliefert), nicht jedoch im langfristigen Zweig von RouterOS, der aus einer weniger aktuellen, aber immer noch weit verbreiteten Version des Betriebssystems besteht.
Ein Patch für RouterOS Long-Term wurde letzte Woche veröffentlicht, nachdem die Forscher den FOISted-Exploit portiert und demonstriert hatten, der auf MIPS-basierten MikroTik-Geräten entweder über dessen Web- oder Winbox-Schnittstelle funktioniert.
„Insgesamt indiziert Shodan etwa 500.000 bzw. 900.000 RouterOS-Systeme, die über ihre Web- und/oder Winbox-Schnittstellen für CVE-2023-30799 anfällig sind“, bemerkte Baines.
Sie haben den Exploit nicht öffentlich gemacht, aber das Rennen ist eröffnet; In der Vergangenheit haben Angreifer MikroTik-Router für verschiedene schändliche Zwecke kompromittiert (Kryptojacking, Einrichten von C2-Kommunikations-Proxys, Bereitstellung von Exploits).
Es ist auch möglich, dass Angreifer bereits einen Exploit entwickelt haben und diesen unbemerkt nutzen.
„Unter normalen Umständen würden wir sagen, dass die Erkennung einer Ausnutzung ein guter erster Schritt zum Schutz Ihrer Systeme ist. Leider ist eine Erkennung nahezu unmöglich. Die RouterOS-Web- und Winbox-Schnittstellen implementieren benutzerdefinierte Verschlüsselungsschemata, die weder Snort noch Suricata entschlüsseln und überprüfen können. Sobald sich ein Angreifer auf dem Gerät etabliert hat, kann er sich für die RouterOS-Benutzeroberfläche leicht unsichtbar machen“, teilte Baines mit.
„Microsoft hat ein Toolset veröffentlicht, das potenziell böswillige Konfigurationsänderungen identifiziert. Konfigurationsänderungen sind jedoch nicht erforderlich, wenn der Angreifer Root-Zugriff auf das System hat.“
Administratoren/Benutzern von MikroTik-Routern wird empfohlen, auf eine feste Version (entweder stabil oder langfristig) zu aktualisieren und generell die Angriffsfläche zu minimieren, um diese Art und ähnliche Angriffe durch Remote-Akteure zu verhindern.
Sie können dies erreichen, indem sie die MikroTik-Verwaltungsschnittstellen aus dem Internet entfernen, die IP-Adressen einschränken, von denen sich Administratoren anmelden können, oder indem sie die Winbox und die Webschnittstellen deaktivieren, sagt Baines. „Verwenden Sie SSH nur zur Verwaltung. Konfigurieren Sie SSH für die Verwendung öffentlicher/privater Schlüssel und deaktivieren Sie Passwörter.“