Раскрыты детали критической уязвимости в RouterOS, позволяющей повысить права доступа через Winbox или веб-интерфейс до суперадмина. Владельцам устройств MikroTik рекомендуется обновить софт до релиза 6.49.8 или последней сборки 7.x.
Согласно блог-записи VulnCheck, уязвимость CVE-2023-30799 (9,1 балла CVSS) вызвана возможностью повышения привилегий с уровня простого администратора до root-шелл. Эксплойт требует аутентификации и позволяет выполнить любой код в системе, в том числе с целью изменения ОС или сокрытия вредоносной активности.
Требование аутентификации в данном случае не преграда: в RouterOS вшит дефолтный аккаунт админа. В руководстве MikroTik по безопасности рекомендовано его удалить, однако пользователи часто игнорируют эти инструкции.
Более того, в сборках ниже RouterOS 6.49 заданный по умолчанию админ-пароль представляет собой пустую строку, и почти 60% роутеров MikroTik до сих пор его используют. При замене пароля RouterOS не подсказывает, как его усилить; в ней также не предусмотрена защита от брутфорса (исключение составляет SSH).
Первыми CVE-2023-30799 обнаружили год назад исследователи из Margin Research. На тот момент уязвимость еще не получила CVE-идентификатор — только PoC-эксплойт для виртуальной машины RouterOS x86, нареченный FOISted. Позднее в VulnCheck развили эту концепцию, распространив ее на оборудование MikroTik другой архитектуры (MIPS).
Патч для стабильной версии RouterOS вышел в октябре 2022 года (сборка 6.49.7), для ОС с долгосрочной техподдержкой — лишь в этом месяце (6.49.8), да и то благодаря настойчивости ИБ-исследователей. Поиск через Shodan выявил около 500 тыс. роутеров MikroTik с доступной по HTTP панелью управления, а также более 900 тыс. устройств с открытым портом Winbox.
Пользователям рекомендуется как можно скорее обновить прошивки или как минимум принять меры для предотвращения эксплойта:
убрать админ-интерфейсы из интернета;
ограничить вход для пользователей с помощью белых списков IP;
отключить Winbox и использовать только SSH;
в настройках SSH выставить аутентификацию на базе ключей RSA вместо паролей.
Латвийская MikroTik часто медлит с латанием дыр, и авторам опасных находок приходится многократно напоминать о прорехе, чтобы добиться положительного результата. Пользовательская база вендора обширна (свыше 2 млн устройств), и последствия в таких случаях бывают плачевными: массовый взлом и мобилизация в ботнет, используемый, к примеру, для проведения DDoS-атак.
«Роутеры Mikrotik весьма популярны в различных рыночных сегментах, но действительно в них отсутствует целый ряд механизмов безопасности, которые реализованы в более дорогих устройствах, — отметил в комментарии для Anti-malware.ru руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис» Сергей Полунин. — В то же время сами администраторы продолжают управлять ими, использую дефолтную учетную запись, открывая интерфейсы управления для удаленного доступа. В такой ситуация выявленная уязвимость представляет реальную опасность, хотя реализация угрозы будет весьма нетривиальна».
Парижский суд отклонил ходатайство российского баскетболиста Даниила Касаткина об освобождении под судебный надзор. Заседание прошло без объяснения причин такого решения, несмотря на доводы защиты. Таким образом, спортсмен останется под арестом до следующих слушаний по делу об экстрадиции.
Российский баскетболист Даниил Касаткин был задержан во Франции в конце июня по запросу властей США. Однако известно об этом стало лишь спустя почти две недели.
Касаткину инкриминируется участие в переговорах от имени группировки операторов программ-вымогателей. По данным следствия, от действий злоумышленников пострадали около 900 американских организаций, включая два государственных агентства. Сам спортсмен все обвинения отрицает.
«Факты, вменяемые Касаткину в вину, крайне серьёзные: от его действий пострадали 900 американских компаний. Безумие считать гарантии Касаткина достаточными», — цитирует РИА Новости Спорт слова представителя обвинения в суде.
В начале заседания судья отметила, что в США Касаткину может грозить до 25 лет лишения свободы по статьям о компьютерном и электронном мошенничестве.
В итоге суд отклонил прошение об освобождении под судебный надзор. Как сообщил адвокат баскетболиста Фредерик Бело, слушания по вопросу экстрадиции в США назначены на сентябрь.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
