Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
MaisonLa vulnérabilité MikroTik pourrait être utilisée pour pirater 900 000 routeurs (CVE
Une vulnérabilité d'élévation de privilèges (CVE-2023-30799) pourrait permettre aux attaquants de réquisitionner jusqu'à 900 000 routeurs MikroTik, explique Jacob Baines, chercheur chez VulnCheck.
Bien que son exploitation nécessite une authentification, l’acquisition d’informations d’identification pour accéder aux routeurs n’est pas si difficile.
« RouterOS [le système d'exploitation sous-jacent] est livré avec un utilisateur « administrateur » entièrement fonctionnel. Les directives de renforcement indiquent aux administrateurs de supprimer l'utilisateur « admin », mais nous savons qu'un grand nombre d'installations ne l'ont pas fait », a expliqué Baines. « Nous avons sondé un échantillon d'hôtes sur Shodan (n = 5 500) et avons constaté que près de 60 % d'entre eux utilisaient toujours l'utilisateur administrateur par défaut. »
De plus, jusqu'en octobre 2021, le mot de passe « admin » par défaut était une chaîne vide et les administrateurs n'étaient pas invités à le modifier.
« Même lorsqu'un administrateur a défini un nouveau mot de passe, RouterOS n'applique aucune restriction. Les administrateurs sont libres de définir le mot de passe de leur choix, aussi simple soit-il. C'est d'autant plus dommage que le système n'offre aucune protection contre la force brute (sauf sur l'interface SSH) », a-t-il ajouté.
La chose intéressante à propos de CVE-2023-30799 n'est pas qu'il s'agit d'un bug qui permet une élévation de privilèges, mais qu'il permet aux attaquants d'obtenir des privilèges de « super-administrateur », ce qui leur permet d'accéder pleinement au système d'exploitation de l'appareil et, potentiellement, y apporter des modifications indétectables.
Même si la vulnérabilité a reçu un numéro CVE cette année, son existence est connue depuis juin 2022, lorsque Ian Dupont et Harrison Green de Margin Research ont publié un exploit appelé FOISted qui permet d'obtenir un shell racine sur la machine virtuelle RouterOS x86.
La vulnérabilité a été corrigée dans la branche stable de RouterOS plus tard cette année-là (le correctif a été livré dans la version 6.49.7), mais pas dans la branche RouterOS Long-term, qui consiste en une version moins actuelle mais toujours largement utilisée du système d'exploitation.
Un correctif pour RouterOS Long-term a été publié la semaine dernière, après que les chercheurs ont porté et démontré l'exploit FOISted fonctionnant sur les appareils MikroTik basés sur MIPS via son interface Web ou Winbox.
"Au total, Shodan indexe environ 500 000 et 900 000 systèmes RouterOS vulnérables au CVE-2023-30799 via leurs interfaces Web et/ou Winbox respectivement", a noté Baines.
Ils n'ont pas rendu public l'exploit, mais la course est lancée ; Dans le passé, les attaquants ont compromis les routeurs MikroTik à diverses fins néfastes (cryptojacking, configuration de proxys de communication C2, livraison d'exploits).
Il est également possible que des attaquants aient déjà développé un exploit et l'aient utilisé sans se faire remarquer.
« Dans des circonstances normales, nous dirions que la détection d'une exploitation est une bonne première étape pour protéger vos systèmes. Malheureusement, la détection est presque impossible. Les interfaces Web et Winbox de RouterOS implémentent des schémas de cryptage personnalisés que ni Snort ni Suricata ne peuvent déchiffrer et inspecter. Une fois qu'un attaquant est établi sur l'appareil, il peut facilement se rendre invisible à l'interface utilisateur de RouterOS », a expliqué Baines.
"Microsoft a publié un ensemble d'outils qui identifie les modifications de configuration malveillantes potentielles, mais les modifications de configuration ne sont pas nécessaires lorsque l'attaquant dispose d'un accès root au système."
Il est conseillé aux administrateurs/utilisateurs de routeurs MikroTik de passer à une version fixe (stable ou à long terme) et, en général, de minimiser la surface d'attaque pour empêcher ce type d'attaques similaires par des acteurs distants.
Ils peuvent le faire en supprimant les interfaces administratives MikroTik d'Internet, en limitant les adresses IP à partir desquelles les administrateurs peuvent se connecter, ou en désactivant Winbox et les interfaces Web, explique Baines. « Utilisez SSH uniquement pour l'administration. Configurez SSH pour utiliser des clés publiques/privées et désactiver les mots de passe.