MikroTik Super Admin ranjivost CVE-2023-30799
Kritična MikroTik Super Admin ranjivost CVE-2023-30799 dovela je preko 900.000 MikroTik RouterOS uređaja u ozbiljan rizik, omogućavajući napadačima da steknu privilegije “super administratora” i preuzmu potpunu kontrolu nad uređajima bez otkrivanja.
MikroTik Super Admin ranjivost CVE-2023-30799; Source: Wallpapercave
MikroTik ranjivost CVE-2023-30799
Ranjivost je otkrio sigurnosni istraživač kompanije Google Tavis Ormandy, a ona omogućava zlonamjernim napadačima da daljinski sa postojećim administratorskim nalogom podignu svoje privilegije preko Winbox ili HTTP pristupa. Iako je za eksploataciju potreban administratorski nalog, prisustvo dobro poznatog podrazumijevanog “admin” korisnika u MikroTik RouterOS operativnom sistemu izaziva značajnu zabrinutost.
Sigurnosni istraživači su došli do podatka da bi ova ranjivost mogla da ima dalekosežan uticaj, jer je oko 450.000 uređaja dostupno preko HTTP pristupa. Ako se na to doda i broj uređaja kojima se može pristupiti korištenjem Winbox pristupa, broj pogođenih uređaja raste na oko 900.000 uređaja, što je veoma značajan broj.
Broj pogođenih MikroTik uređaja; Source: Shodan Search Engine
CVE-2023-30799 zahteva autentifikaciju. U stvari, sama ranjivost je jednostavna eskalacija privilegija sa administratora na “super-admin” što rezultira pristupom proizvoljnom pozivu funkcije. Ali ovu ranjivost ne treba odbaciti, jer je potrebna autentifikacija. Vjerujemo da je ovo opasna ranjivost. Pribavljanje akreditiva za RouterOS sisteme je lakše nego što bi se moglo očekivati.
Ranjivost CVE-2023-30799 daje napadačima privilegije “Super Admin”, nudeći neograničen pristup operativnom sistemu RouterOS. Korištenjem ovog povećanja privilegija, napadači mogu da manipulišu pozivima funkcija, omogućavajući im da kontrolišu osnovni softver i izbjegnu otkrivanje.
MikroTik podrazumijevani administratorski korisnik, koji se često ne uklanja kako je preporučeno, ostaje tačka ranjivosti. Pored toga, nedostatak zahteva za jačanje administratorske lozinke izlaže korisnike napadima grube sile (eng. brute-force), pri čemu MikroTik ne nudi nikakvu zaštitu osim na SSH interfejsu.
Zaštita
Iako je ranjivost prvobitno otkrivena bez identifikatora ranjivosti u junu 2022. godine, kompanija MikroTik je izdala sigurnosno ažuriranje koje riješava ovaj problem u oktbru 2022. godine za RouterOS stable v6.49.7 i 19. jula 2023. godine za RouterOS Long-term v6.49.8.
Zastupljenost MikroTik RouterOS verzija; Source: Shodan Search Engine
Korisnici MikroTik uređaja moraju odmah da preduzmu mjere kako bi se zaštitili od ove ranjivosti, a to znači primjena najnovijeg RouterOS ažuriranja v6.49.8 (stable) ili v7.x stable. Da bi poboljšali bezbjednost, korisnici bi trebalo da uklone administrativne pristupe sa Interneta, ograniče IP adrese za prijavljivanje na listu dozvoljenih, onemoguće Winbox u korist SSH pristupa i konfigurišu SSH da koristi javne/privatne ključeve umjesto lozinki. Neuspjeh u rješavanju ranjivosti može dovesti do katastrofalnih posljedica, jer zlonamjerni akteri mogu pokušati da je brzo iskoriste. Korisnici još jednom mogu pogledati preporučeno uputstvo za zaštitu MikroTik uređaja ovdje.
