یک مشکل تشدید امتیاز شدید که بر روی MikroTik RouterOS تأثیر میگذارد، میتواند توسط عوامل مخرب راه دور برای اجرای کد دلخواه و تصرف کنترل کامل دستگاههای آسیبپذیر مورداستفاده قرار گیرد.
VulnCheck در گزارش روز سهشنبه ۲۵ جولای فاش کرد، انتظار میرود این نقص که بهعنوان CVE-2023-30799 فهرستبندی شده است[۱] (امتیاز ۱/۹ در مقیاس CVSS)، تقریباً ۵۰۰٫۰۰۰ و ۹۰۰٫۰۰۰ سیستم RouterOS را به ترتیب از طریق رابطهای وب و یا Winbox خود در معرض خطر بهرهبرداری قرار دهد[۲].
جاکوب بینز، محقق امنیتی گفت[۳]: «CVE-2023-30799 نیاز به احراز هویت دارد. در واقع، این آسیبپذیری خود یک افزایش امتیاز ساده از admin به super-admin است که منجر به دسترسی به یک عملکرد دلخواه میشود. کسب اعتبار برای سیستمهای RouterOS آسانتر از آن چیزی است که انتظار میرود.»
این به این دلیل است که سیستمعامل Mikrotik RouterOS هیچگونه محافظتی در برابر حملات brute-force رمز عبور ارائه نمیدهد و با یک کاربر پیشفرض معروف admin ارسال میشود، بهطوریکه رمز عبور آن تا اکتبر ۲۰۲۱ یک رشته خالی است که در آن زمان از مدیران خواسته شد تا پسوردهای خالی را با انتشار RouterOS 6.49 بهروز کنند.
گفته میشود که CVE-2023-30799 در ابتدا توسط Margin Research بهعنوان یک بهرهبردار با نام FOIS[4] بدون شناسه CVE همراه در ژوئن ۲۰۲۲ فاش شده است. بااینحال، این حفره امنیتی تا ۱۳ اکتبر ۲۰۲۲ در نسخه ۶٫۴۹٫۷ پایدار RouterOS[5] و تا ۱۹ جولای ۲۰۲۳، برای RouterOS نسخه بلندمدت ۶٫۴۹٫۸ وصله نشده بود[۶].
VulnCheck خاطرنشان کرد که یک وصله برای tree نسخه بلندمدت تنها پس از تماس مستقیم با فروشنده و «انتشار اکسپلویتهای جدید که به طیف وسیعتری از سختافزار MikroTik حمله میکرد» در دسترس قرار گرفت.
یک اثبات ادعا (PoC) که توسط این شرکت ابداع شده است نشان میدهد که میتوان یک زنجیره بهرهبرداری جدید مبتنی بر معماری MIPS از FOISted استخراج کرد[۷] و یک پوسته ریشه روی روتر به دست آورد.
باینز خاطرنشان کرد: «باتوجهبه سابقه طولانی RouterOS در یک هدف APT، همراه با این واقعیت که FOISted بیش از یک سال پیش منتشر شد، ما باید فرض کنیم که اولین گروهی نیستیم که به این موضوع پی میبریم.»
“متأسفانه، شناسایی تقریباً غیرممکن است. رابطهای وب RouterOS و Winbox طرحهای رمزگذاری سفارشی را اجرا میکنند که نه Snort و نه Suricata نمیتوانند رمزگشایی و بازرسی کنند. هنگامی که یک مهاجم روی دستگاه مستقر شد، آنها بهراحتی میتوانند خود را برای رابط کاربری RouterOS نامرئی کنند.”
باتوجهبه نقصهایی که در روترهای Mikrotik برای جمعکردن دستگاهها به باتنتهای انکار سرویس توزیعشده (DDoS) مانند [۸]Mēris و استفاده از آنها بهعنوان پروکسی فرمان و کنترل[۹] مورد بهرهبرداری قرار میگیرد، توصیه میشود که کاربران این نقص را دراسرعوقت با بهروزرسانی به آخرین نسخه (۶٫۴۹٫۸) برطرف کنند.
توصیههای کاهش شامل حذف رابطهای مدیریتی MikroTik از اینترنت، محدودکردن آدرسهای IP که مدیران میتوانند از آن وارد شوند، غیرفعالکردن Winbox و رابطهای وب و پیکربندی SSH برای استفاده از کلیدهای عمومی/خصوصی و غیرفعالکردن رمزهای عبور است.
منابع
[۱] https://nvd.nist.gov/vuln/detail/CVE-2023-30799
[۲] https://youtu.be/kLC1fuGqDJY
[۳] https://vulncheck.com/blog/mikrotik-foisted-revisited
[۴] https://github.com/MarginResearch/FOISted
[۵] https://mikrotik.com/download/changelogs/stable-release-tree
[۶] https://mikrotik.com/download/changelogs/long-term-release-tree
[۷] https://en.wikipedia.org/wiki/MIPS_architecture
[۸] https://thehackernews.com/2022/03/over-200000-microtik-routers-worldwide.html
[۹] https://thehackernews.com/2022/03/trickbot-malware-abusing-hacked-iot.html
[۱۰] https://thehackernews.com/2023/07/critical-mikrotik-routeros.html
ثبت ديدگاه