Una falla de gravedad crítica pone en riesgo a más de 900.000 enrutadores MikroTik RouterOS, lo que podría permitir a los atacantes tomar el control total de un dispositivo y permanecer sin ser detectados.
Un informe de VulnCheck publicado explica que, si bien la vulnerabilidad requiere una cuenta de administrador existente para explotar, esta no sería un impedimento mayor. Esto se debe a que el sistema operativo Mikrotik RouterOS no evita los ataques de fuerza bruta de contraseñas y viene con un conocido usuario "administrador" predeterminado.
La falla, identificada como CVE-2023-30799 (CVSS score: 9.1), permite a los atacantes remotos con una cuenta de administrador existente elevar sus privilegios a "superadministrador" a través de la interfaz Winbox o HTTP del dispositivo.
"La explotación 'en masa' será más difícil ya que se requieren credenciales válidas. Sin embargo, los routers carecen de protecciones básicas contra la adivinación de contraseñas", dijo a BleepingComputer el investigador de VulnCheck, Jacob Baines. "No publicamos intencionalmente un exploit de prueba de concepto, pero si lo hubiéramos hecho, no tengo ninguna duda de que el exploit se habría utilizado con éxito rápidamente".
Un problema a gran escala
La vulnerabilidad Mikrotik CVE-2023-30799 se reveló por primera vez sin un identificador en junio de 2022, y MikroTik solucionó el problema en octubre de 2022 para RouterOS estable (v6.49.7) y el 19 de julio de 2023 para RouterOS a largo plazo (v6.49.8).
VulnCheck informa que un parche para la rama a largo plazo estuvo disponible solo después de que contactaron al proveedor y compartieron nuevas vulnerabilidades que apuntaban al hardware de MikroTik.
Los investigadores utilizaron Shodan para determinar el impacto de la falla y descubrieron que 474.000 dispositivos eran vulnerables al exponer de forma remota la página de administración basada en la web. La consulta arroja entre 500.000 y 900.000. Sólo en Argentina hay aproximadamente 10.000 dispositivos vulnerables.
Sin embargo, como esta vulnerabilidad también se puede explotar en Winbox, un cliente de administración de Mikrotek, Baines descubrió que 926.000 dispositivos exponían este puerto de administración, lo que aumenta el impacto.
La vulnerabilidad CVE-2023-30799
Si bien la explotación de esta vulnerabilidad requiere una cuenta de administrador existente, lo eleva a un nivel de privilegio más alto llamado "Superadministrador".
A diferencia de la cuenta de administrador, que ofrece privilegios elevados restringidos, Super-Admin brinda acceso completo al sistema operativo RouteOS.
"Al escalar a superadministrador, el atacante puede llegar a una ruta de código que le permite controlar llamadas a funciones. Superadministrador no es un privilegio otorgado a los administradores normales, es un privilegio que se supone que debe otorgarse a ciertas partes del software subyacente (específicamente, en este caso, para cargar bibliotecas para la interfaz web), y no a los usuarios reales."
Esto hace que la vulnerabilidad sea valiosa para los actores de amenazas que desean "liberar" el dispositivo RouterOS para realizar cambios significativos en el sistema operativo subyacente u ocultar sus actividades para que no sean detectadas.
Para desarrollar un exploit para CVE-2023-30799 que obtiene un shell raíz en los dispositivos MikroTik basados en MIPS, los analistas de VulnCheck utilizaron el exploit de jailbreak RouterOS remoto FOISted de Margin Research.
El exploit desarrollado por VulnCheck pasa por alto el requisito de exposición de la interfaz FTP y no se ve afectado por el bloqueo o filtrado de bindshells, ya que utiliza la interfaz web de RouterOS para cargar archivos.
El exploit aún requiere autenticación como "administrador", sin embargo, VulnCheck explica que RouterOS se envía con un usuario administrador completamente funcional de forma predeterminada, que casi el 60% de los dispositivos MikroTik todavía usan a pesar de la guía de endurecimiento del proveedor que sugiere su eliminación.
Además, la contraseña de administrador predeterminada era una cadena vacía hasta octubre de 2021, cuando se solucionó este problema con el lanzamiento de RouterOS 6.49.
Finalmente, RouterOS no impone requisitos de fortalecimiento de contraseñas de administrador, por lo que los usuarios pueden configurar lo que quieran, lo que los hace susceptibles a ataques de fuerza bruta, para los cuales MikroTik no ofrece ninguna protección excepto en la interfaz SSH.
"Todo esto es para decir que RouterOS sufre de una variedad de problemas que hacen que adivinar las credenciales administrativas sea más fácil de lo que debería ser", comenta VulnCheck. "Por eso, creemos que CVE-2023-30799 es mucho más fácil de explotar de lo que indica el vector CVSS".
Parchea tus dispositivos
Los dispositivos MikroTik han sido atacados por malware muchas veces y, sin darse cuenta, ayudaron a construir botnet DDoS sin precedentes como la red de bots Mēris.
Los usuarios deben moverse rápidamente para reparar la falla aplicando la última actualización de RouterOS 6.49.9 o 7.10.x, ya que los intentos de explotar la falla aumentarán pronto.
Los consejos de mitigación incluyen eliminar las interfaces administrativas de Internet, restringir las direcciones IP de inicio de sesión a una lista de permitidos definida, deshabilitar Winbox y usar solo SSH, y configurar SSH para usar claves públicas/privadas en lugar de contraseñas.
Fuente: BC