Importante vulnerabilidad de privilegio en MikroTik RouterOS puede ser aprovechada por actores maliciosos remotos para ejecutar código arbitrario y tomar el control total de dispositivos vulnerables.
Catalogada como CVE-2023-30799 (puntuación CVSS: 9.1), esta vulnerabilidad se espera que ponga en riesgo aproximadamente entre 500,000 y 900,000 sistemas RouterOS a través de sus interfaces web y/o Winbox, según reveló VulnCheck en un informe publicado el martes.
"El CVE-2023-30799 sí requiere autenticación", dijo el investigador de seguridad Jacob Baines. "De hecho, la vulnerabilidad en sí misma es una simple escalada de privilegios de 'admin' a 'super-admin', lo que resulta en acceso a una función arbitraria. Obtener credenciales para los sistemas RouterOS es más fácil de lo que uno podría esperar".
Esto se debe a que el sistema operativo Mikrotik RouterOS no ofrece protección contra ataques de fuerza bruta a contraseñas y viene con un usuario "admin" predeterminado bien conocido, cuya contraseña era una cadena vacía hasta octubre de 2021, momento en el cual se instó a los administradores a actualizar las contraseñas en blanco con el lanzamiento de RouterOS 6.49.
Se dice que CVE-2023-30799 fue originalmente divulgado por Margin Research como un exploit llamado FOISted sin un identificador CVE acompañante en junio de 2022. Sin embargo, el agujero de seguridad no fue corregido hasta el 13 de octubre de 2022 en la versión estable de RouterOS 6.49.7 y el 19 de julio de 2023 para la versión de largo plazo de RouterOS 6.49.8.
VulnCheck señaló que un parche para la rama de lanzamiento a largo plazo solo estuvo disponible después de que se pusiera en contacto directo con el proveedor y "publicara nuevos exploits que atacaban una gama más amplia de hardware MikroTik".
Una prueba de concepto (PoC) desarrollada por la empresa muestra que es posible derivar una nueva cadena de exploits basada en la arquitectura MIPS a partir de FOISted y obtener una shell de root en el enrutador.
Dado el largo historial de RouterOS como objetivo de APT, combinado con el hecho de que FOISted fue publicado hace más de un año, Baines señaló que "debemos asumir que no somos el primer grupo en descubrir esto".
"Lamentablemente, la detección es casi imposible. Las interfaces web y Winbox de RouterOS implementan esquemas de cifrado personalizados que ni Snort ni Suricata pueden descifrar e inspeccionar. Una vez que un atacante se ha establecido en el dispositivo, pueden hacerse invisibles fácilmente para la interfaz de usuario de RouterOS".
Dado que las vulnerabilidades en los enrutadores Mikrotik han sido explotadas para convertir los dispositivos en botnets de denegación de servicio distribuido (DDoS) como Mēris y utilizarlos como proxies de comando y control, se recomienda a los usuarios parchar la falla actualizando a la última versión (6.49.8 o 7.x) lo antes posible.
Las medidas de mitigación incluyen eliminar las interfaces administrativas de MikroTik de Internet, limitar las direcciones IP desde las cuales los administradores pueden iniciar sesión, deshabilitar las interfaces Winbox y web, y configurar SSH para usar claves públicas/privadas y deshabilitar las contraseñas.
https://thehackernews.com/2023/07/critical-mikrotik-routeros.html
%2014.04.55.png)
