安全专家警告称,拉脱维亚网络设备制造商MikroTik生产的数十万台路由器容易受到一个关键漏洞的攻击,该漏洞可能使攻击者远程控制受影响的设备。
VulnCheck研究员Jacob Baines周二在一篇博客文章中解释说,远程和经过身份验证的攻击者可以使用CVE-2023-30799来获取microtik RouterOS路由器的根shell。
Baines表示,该漏洞本身于2022年6月首次披露,但在VulnCheck发布新漏洞后才分配了CVE。现在有一个补丁可用,但贝恩斯声称,全球约有47.2万台RouterOS设备仍然可以通过其web管理界面受到攻击-如果通过Winbox管理客户端进行攻击,这个数字将上升到超过92万。
该漏洞本身是一个特权升级错误,CVSS得分为9.1。
其国家漏洞数据库(NVD)上的一个条目指出:“远程和经过身份验证的攻击者可以在Winbox或HTTP接口上将权限从管理员升级为超级管理员。攻击者可以滥用这个漏洞在系统上执行任意代码,”
Baines警告说:“尽管利用该漏洞需要身份验证,但这比人们想象的要容易。”
VulnCheck声称,大约60%的RouterOS用户仍然使用默认的admin用户。
Baines解释道:“RouterOS配备了一个功能齐全的admin用户。强化指导要求管理员删除admin用户,但我们知道大量安装并没有这样做。”
更糟糕的是,默认的admin密码是一个空字符串,直到RouterOS 6.49(2021年10月),RouterOS才开始提示管理员更新空密码。即使管理员设置了新密码,RouterOS也不会强制执行任何限制。管理员可以自由设置他们选择的任何密码,无论多么简单。这是特别不幸的,因为系统不提供任何暴力破解保护(除了SSH接口)。
Baines补充说:“让客户更加苦恼的是,检测CVE-2023-30799漏洞的利用几乎是不可能的,因为RouterOS web和Winbox接口实现了自定义加密,而威胁检测系统Snort和Suricata无法解密和检查。“
这意味着抓住攻击者的最佳时机是当他们试图暴力破解管理凭证时,如果他们决定沿着这条路走下去的话。