Language
La vulnerabilidad de MikroTik podría usarse para secuestrar 900.000 enrutadores (CVE
HogarHogar > Noticias > La vulnerabilidad de MikroTik podría usarse para secuestrar 900.000 enrutadores (CVE
ÚLTIMAS NOTICIAS

La vulnerabilidad de MikroTik podría usarse para secuestrar 900.000 enrutadores (CVE

Nov 03, 2023

Una vulnerabilidad de escalada de privilegios (CVE-2023-30799) podría permitir a los atacantes apoderarse de hasta 900.000 enrutadores MikroTik, afirma el investigador de VulnCheck, Jacob Baines.

Si bien explotarlo requiere autenticación, adquirir credenciales para acceder a los enrutadores no es tan difícil.

“RouterOS [el sistema operativo subyacente] viene con un usuario 'administrador' completamente funcional. La guía de refuerzo indica a los administradores que eliminen al usuario 'admin', pero sabemos que una gran cantidad de instalaciones no lo han hecho”, explicó Baines. "Sondamos en una muestra de hosts en Shodan (n=5500) y descubrimos que casi el 60% todavía usaba el usuario administrador predeterminado".

Además de esto, hasta octubre de 2021, la contraseña de “administrador” predeterminada era una cadena vacía y no se solicitaba a los administradores que la cambiaran.

“Incluso cuando un administrador ha establecido una nueva contraseña, RouterOS no impone ninguna restricción. Los administradores son libres de establecer cualquier contraseña que elijan, sin importar cuán simple sea. Esto es particularmente desafortunado porque el sistema no ofrece ninguna protección de fuerza bruta (excepto en la interfaz SSH)”, añadió.

Lo interesante de CVE-2023-30799 no es que sea un error que permita la elevación de privilegios, sino que permite a los atacantes obtener privilegios de "superadministrador", lo que les permite tener acceso completo al sistema operativo del dispositivo y, potencialmente, realizar cambios indetectables en él.

Aunque la vulnerabilidad recibió un número CVE este año, su existencia se conoce desde junio de 2022, cuando Ian Dupont y Harrison Green de Margin Research lanzaron un exploit llamado FOISted que puede obtener un shell raíz en la máquina virtual RouterOS x86.

La vulnerabilidad se solucionó en la rama estable de RouterOS más tarde ese año (la solución se envió en v6.49.7), pero no en la rama a largo plazo de RouterOS, que consiste en una versión del sistema operativo menos actual pero aún ampliamente utilizada.

La semana pasada se lanzó un parche para RouterOS Long-term, después de que los investigadores portaran y demostraran que el exploit FOISted funciona en dispositivos MikroTik basados ​​en MIPS, ya sea a través de su interfaz web o Winbox.

"En total, Shodan indexa aproximadamente 500.000 y 900.000 sistemas RouterOS vulnerables a CVE-2023-30799 a través de sus interfaces web y/o Winbox respectivamente", señaló Baines.

No han hecho público el descubrimiento, pero la carrera ha comenzado; En el pasado, los atacantes han estado comprometiendo los enrutadores MikroTik con una variedad de fines nefastos (criptojacking, configuración de servidores proxy de comunicación C2, entrega de exploits).

Además, es posible que los atacantes ya hayan desarrollado un exploit y lo hayan estado utilizando sin que se dieran cuenta.

“En circunstancias normales, diríamos que la detección de explotación es un buen primer paso para proteger sus sistemas. Desafortunadamente, la detección es casi imposible. Las interfaces web de RouterOS y Winbox implementan esquemas de cifrado personalizados que ni Snort ni Suricata pueden descifrar ni inspeccionar. Una vez que un atacante se establece en el dispositivo, puede volverse fácilmente invisible para la interfaz de usuario de RouterOS”, compartió Baines.

"Microsoft publicó un conjunto de herramientas que identifica posibles cambios de configuración maliciosos, pero los cambios de configuración no son necesarios cuando el atacante tiene acceso raíz al sistema".

Se recomienda a los administradores/usuarios de los enrutadores MikroTik que actualicen a una versión fija (ya sea estable o de largo plazo) y, en general, que minimicen la superficie de ataque para evitar este tipo y ataques similares por parte de actores remotos.

Pueden hacerlo eliminando las interfaces administrativas de MikroTik de Internet, restringiendo desde qué direcciones IP los administradores pueden iniciar sesión o deshabilitando Winbox y las interfaces web, dice Baines. “Utilice SSH únicamente para la administración. Configure SSH para usar claves públicas/privadas y deshabilitar contraseñas”.