Новая уязвимость в MikroTik RouterOS грозит захватом 900 тысяч роутеров

Новая уязвимость в MikroTik RouterOS грозит захватом 900 тысяч роутеров

Раскрыты детали критической уязвимости в RouterOS, позволяющей повысить права доступа через Winbox или веб-интерфейс до суперадмина. Владельцам устройств MikroTik рекомендуется обновить софт до релиза 6.49.8 или последней сборки 7.x.

Согласно блог-записи VulnCheck, уязвимость CVE-2023-30799 (9,1 балла CVSS) вызвана возможностью повышения привилегий с уровня простого администратора до root-шелл. Эксплойт требует аутентификации и позволяет выполнить любой код в системе, в том числе с целью изменения ОС или сокрытия вредоносной активности.

Требование аутентификации в данном случае не преграда: в RouterOS вшит дефолтный аккаунт админа. В руководстве MikroTik по безопасности рекомендовано его удалить, однако пользователи часто игнорируют эти инструкции.

Более того, в сборках ниже RouterOS 6.49 заданный по умолчанию админ-пароль представляет собой пустую строку, и почти 60% роутеров MikroTik до сих пор его используют. При замене пароля RouterOS не подсказывает, как его усилить; в ней также не предусмотрена защита от брутфорса (исключение составляет SSH).

Первыми CVE-2023-30799 обнаружили год назад исследователи из Margin Research. На тот момент уязвимость еще не получила CVE-идентификатор — только PoC-эксплойт для виртуальной машины RouterOS x86, нареченный FOISted. Позднее в VulnCheck развили эту концепцию, распространив ее на оборудование MikroTik другой архитектуры (MIPS).

Патч для стабильной версии RouterOS вышел в октябре 2022 года (сборка 6.49.7), для ОС с долгосрочной техподдержкой — лишь в этом месяце (6.49.8), да и то благодаря настойчивости ИБ-исследователей. Поиск через Shodan выявил около 500 тыс. роутеров MikroTik с доступной по HTTP панелью управления, а также более 900 тыс. устройств с открытым портом Winbox.

 

Пользователям рекомендуется как можно скорее обновить прошивки или как минимум принять меры для предотвращения эксплойта:

  • убрать админ-интерфейсы из интернета;
  • ограничить вход для пользователей с помощью белых списков IP;
  • отключить Winbox и использовать только SSH;
  • в настройках SSH выставить аутентификацию на базе ключей RSA вместо паролей.

Латвийская MikroTik часто медлит с латанием дыр, и авторам опасных находок приходится многократно напоминать о прорехе, чтобы добиться положительного результата. Пользовательская база вендора обширна (свыше 2 млн устройств), и последствия в таких случаях бывают плачевными: массовый взлом и мобилизация в ботнет, используемый, к примеру, для проведения DDoS-атак.

«Роутеры Mikrotik весьма популярны в различных рыночных сегментах, но действительно в них отсутствует целый ряд механизмов безопасности, которые реализованы в более дорогих устройствах, — отметил в комментарии для Anti-malware.ru руководитель группы защиты инфраструктурных ИТ компании «Газинформсервис» Сергей Полунин. — В то же время сами администраторы продолжают управлять ими, использую дефолтную учетную запись, открывая интерфейсы управления для удаленного доступа. В такой ситуация выявленная уязвимость представляет реальную опасность, хотя реализация угрозы будет весьма нетривиальна».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

У F.A.C.C.T. ASM появился еще один MSSP-провайдер — Риэль Инжиниринг

Компания F.A.С.С.T. обрела нового партнера по поставке MSSP-услуг. Системный интегратор «Риэль Инжиниринг» уже запустил пилотирование F.A.C.C.T. Attack Surface Management, и продукт помог выявить потенциальные угрозы в сетях заказчиков.

ИТ-компания «Риэль Инжиниринг» специализируется на решениях промышленной автоматизации, основная масса ее клиентов — крупные предприятия России, которым ввиду роста количества целевых атак на АСУ ТП важно быть на шаг впереди потенциальных злоумышленников.

По оценке F.A.С.С.T., в этом году наибольшую угрозу для российской промышленности составляют атаки с использованием зловредов: шифровальщиков, шпионов, инфостилеров, скрытных майнеров, а также утечки данных по вине хактивистов. Основными векторами атак на промпредприятия являются вредоносные рассылки, открытые RDP-порты, теневые цифровые активы и непропатченные уязвимости.

Решение F.A.C.C.T. ASM позволяет проводить проверки ИТ-инфраструктуры с тем, чтобы выявить слабые места и держать под контролем площадь атаки. Пилоты подключения клиентуры «Риэль Инжиниринг» уже зафиксировали такие потенциальные угрозы, как устаревший софт, незакрытые порты, просроченные сертификаты, небезопасные настройки имейл.

На некоторых промышленных предприятиях была обнаружена утечка корпоративных учеток, в одном из случаев сервисы были вынесены на внешний хостинг с сомнительной репутацией.

Ранее в этом году F.A.C.C.T. объявила о начале MSSP-партнерства с другим российским интегратором, «Бизнес Ай Ти». В рамках новой программы ИТ-компания предлагает бесплатный двухнедельный пилот аудита инфраструктуры заказчика с использованием облачного SaaS-решения F.A.C.C.T. ASM.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru