Критическая уязвимость, допускающая повышение привилегий до уровня Super Admin, угрожает более чем 900 000 маршрутизаторам MikroTik с RouterOS на борту.
Проблема отслеживается под идентификатором CVE-2023-30799 и позволяет злоумышленникам, у которых уже есть учетная запись администратора, повысить свои привилегии до Super Admin через интерфейс Winbox или HTTP.
Специалисты компании VulnCheck объясняют, что эта проблема не кажется серьезной лишь на первый взгляд. Ведь, казалось бы, если потенциальный атакующий должен заранее иметь привилегии администратора, все не так уж плохо. Но, к сожалению, это вряд ли остановит злоумышленников, так как RouterOS не предотвращает брутфорс-атаки, не предъявляет жестких требований к паролю администратора, а также по умолчанию имеет аккаунт admin, о котором известно очень давно.
Хуже того, до октября 2021 года пароль администратора по умолчанию был пустой строкой, и эту проблему исправили только с релизом RouterOS 6.49. По данным исследователей, около 60% устройств MikroTik все еще используют эту учетную запись, хотя производитель давно рекомендует ее удалить.
«Массовая эксплуатация [уязвимости] осложняется тем, что для атаки требуются действительные учетные данные. Однако маршрутизаторам не хватает базовой защиты от подбора пароля, — говорят эксперты VulnCheck. — Мы намеренно не публикуем PoC-эксплоит, но будь он доступен, то наверняка был бы использован [хакерами] на практике сразу после публикации нашей статьи».
Уязвимость была обнаружена еще в июне 2022 года, и MikroTik исправила проблему в октябре 2022 года в стабильной версии RouterOS (6.49.7), а 19 июля 2023 года вышел патч для ветки Long-term (6.49.8). В VulnCheck отмечают, что свежие патчи появились лишь после того, как специалисты связались с разработчиками и поделились с ними новыми эксплоитами.
По статистике Shodan, перед CVE-2023-30799 уязвимы 474 000 устройств, поскольку их управляющая веб-страница доступна для удаленного доступа. Однако, поскольку уязвимость также может использоваться через Winbox (клиент для управления устройствами на базе Mikrotik RouterOS), количество уязвимых девайсов увеличивается почти вдвое и составляет уже 926 000 устройств.
Исследователи объясняют, что привилегии уровня Super Admin имеют ряд преимуществ перед обычными привилегиями администратора. Фактически, суперадминистратор получает полный и неограниченный доступ к операционной системе RouteOS, и такие привилегии обычно может иметь базовое ПО, но не пользователь.