V routerech MikroTik byla nalezena kritická chyba zabezpečení. 900 000 zařízení pod útokem

Výzkumníci říkají, že více než 900,000 XNUMX routerů MikroTik je zranitelných vůči hackerům

Podle výzkumníků je více než 900,000 XNUMX routerů MikroTik zranitelných vůči problému, který byla společnost v tichosti opravena koncem minulého týdne.

Lotyšská společnost MikroTik je významným výrobcem síťových zařízení, který vyrábí některé z nejpopulárnějších směrovačů na světě.

20. července společnost opravila chybu zabezpečení – CVE-2023-30799 – ve své nejnovější aktualizaci, ale nezveřejnila upozornění na opravy. Tato zranitelnost umožňuje hackerům eskalovat jejich privilegia, což jim poskytuje širší přístup k síti.

Jacob Baines, hlavní výzkumník hrozeb ve firmě VulnCheck, zabývající se kybernetickou bezpečností, uvedl, že stovky tisíc zařízení nasazených po celém světě jsou stále zranitelné. MikroTik na svých webových stránkách uvádí jako některé své zákazníky americké ministerstvo zahraničí, Sprint, Los Alamos National Laboratory, Siemens, Mitsubishi a NASA.

MikroTik nereagoval na žádosti o komentář, ale výzkumníci VulnCheck uvedli, že společnost si je tohoto problému vědoma přinejmenším od října 2022, protože jej opravili alespoň v jedné verzi svého softwaru – stabilní RouterOS. Problém, který nedávno objevil VulnCheck, se však týká dlouhodobého produktu RouterOS společnosti a byl opraven ve verzi 6.49.8, která vyšla minulý čtvrtek.

Výzkumníci uvedli, že problém nese skóre CVSS 9.1 – což znamená, že jde o kritický problém – a poznamenali, že neopravená verze Long-term byla druhou nejinstalovanější verzí RouterOS podle Shodan, nástroje pro skenování zařízení připojených k internetu.

„Celkem Shodan indexuje přibližně 500,000 900,000 a 2023 30799 systémů RouterOS, které jsou zranitelné vůči CVE-XNUMX-XNUMX prostřednictvím svého webového rozhraní a/nebo rozhraní Winbox,“ řekl Baines pro Recorded Future News a vysvětlil, že různá čísla představují různá rozhraní, která mohou být přítomna v zařízení.

Baines poznamenal, že problém se datuje před více než rokem, kdy zaměstnanci Margin Research Ian Dupont a Harrison Green v červnu 2022 zveřejnili exploit na zranitelnost s názvem „FOISted“.

VulnCheck nedávno zveřejnil podrobnosti o nových exploitech pro zranitelnost, která útočí na širší škálu hardwaru MikroTik, řekl Baines s teorií, že omezený rozsah počátečního exploitu mohl být vyvolán nevýraznou reakcí MikroTiku.

Zařízení MikroTik jsou již dlouho cílem hackerů, kteří se snaží vytvořit botnety – skupinu zařízení připojených k internetu, která byla převzata za účelem zesílení útoků nebo poskytování proxy pro útočníky.

Tisíce zneužitých zařízení MikroTik byly součástí botnetu Meris – který stál za některými z největších DDoS útoků v roce 2021 – poté, co hackeři objevili zero-day v roce 2018. Existuje několik dalších případů, kdy hackeři používají zařízení MikroTik k vytvoření výkonných botnetů. poslední tři roky.

Používáte routery MikroTik? Pak jste v nebezpečí

Odborníci na informační bezpečnost z VulnCheck oznámili kritickou zranitelnost v zařízeních MikroTik. Napadeno bylo více než 900 tisíc zařízení, jejichž majitelé ignorovali aktualizaci operačního systému RouterOS. Zranitelnost má označení CVE-2023-30799, popisuje možnost zvýšení oprávnění administrátorského účtu na superadmin.

Důvod spočívá ve verzi firmwaru, která umožňovala útokům hrubou silou uhodnout heslo správce a cílem jsou obvykle zařízení MikroTik s výchozími hodnotami pro dvojice uživatelské jméno-heslo. Stejná podmínka – mít administrátorský přístup ke zneužití zranitelnosti – se však stala překážkou rozšíření problému.

VulnCheck, který zranitelnost nahlásil, záměrně nezveřejnil Proof of concept (důkaz funkčnosti exploitu), aby nepomohl útočníkům jej použít. Opravy, které chybu odstraňují, již byly vydány a majitelům MikroTiku se doporučuje aktualizovat RouterOS na nejnovější verzi.