یک مشکل امتیاز بالا که بر روی MikroTik RouterOS تأثیر میگذارد، میتواند توسط عوامل مخرب راه دور برای اجرای کد دلخواه و تصرف کنترل کامل دستگاههای آسیبپذیر مورداستفاده قرار گیرد.
VulnCheck در گزارش روز سهشنبه فاش کرد، انتظار میرود این نقص که بهعنوان CVE-2023-30799 (امتیاز)، تقریباً ۵۰۰۰۰۰ تا ۹۰۰۰۰۰ سیستم RouterOS را به ترتیب از طریق رابطهای وب و/یا Winbox در معرض خطر قرار دهد.
” Jacob Baines محقق امنیتی گفت: «CVE-2023-30799 نیاز به احراز هویت دارد. «درواقع، این آسیبپذیری خود یک افزایش امتیاز ساده از admin به «super-admin» است که منجر به دسترسی به یک عملکرد دلخواه میشود. به دست آوردن اعتبار برای سیستمهای RouterOS سادهتر از آن چیزی است که انتظار میرود.”
این به این خاطر است که سیستمعامل Mikrotik RouterOS هیچگونه محافظتی در برابر حملات brute-force رمز عبور ارائه نمیدهد و با یک کاربر پیشفرض معروف “admin” ارسال میشود، و رمز عبور آن تا اکتبر ۲۰۲۱ خالی بوده است، در آن زمان از مدیران خواسته شد تا پسوردهای خالی را با انتشار RouterOS 6.49 بهروز کنند.
گفته میشود که CVE-2023-30799 در ابتدا توسط شرکت Margin Research بهعنوان یک آسیبپذیری بانام FOISted بدون شناسه CVE در ژوئن ۲۰۲۲ منتشر شد، بااینحال، این آسیب در تاریخ ۱۳ اکتبر ۲۰۲۲ در نسخه پایدار RouterOS 6.49.7 و در تاریخ ۱۹ ژوئیه ۲۰۲۳ در نسخه بلندمدت RouterOS 6.49.8 رفع شد.
VulnCheck اعلام کرد که یک پچ برای Long-term release tree فقط پس از ارتباط مستقیم با فروشنده در دسترس قرار گرفت و “اکسپلویتهای جدیدی که به طیف گستردهتری از سختافزارهای MikroTik حمله میکردند، منتشر شدند.”
اثبات مفهوم (PoC) ابداعشده توسط این شرکت نشان میدهد که میتوان یک زنجیره اکسپلویت جدید مبتنی بر معماری MIPS از FOISted – که فقط برای هدف قرار دادن ماشینهای مجازی RouterOS x86 طراحیشده بود – و یک پوسته ریشه روی روتر استخراج کرد.
باینز خاطرنشان کرد: با توجه به سابقه طولانی RouterOS در یک هدف APT، همراه با این واقعیت که FOISted بیش از یک سال پیش منتشر شد، ما باید فرض کنیم که اولین گروهی نیستیم که این موضوع را کشف کرده است.
“متأسفانه، تشخیص تقریباً غیرممکن است. رابطهای وب و Winbox سیستمعامل RouterOS از طرحهای رمزگذاری سفارشی استفاده میکنند که نه Snort و نه Suricata قادر به رمزگشایی و بازبینی آنها نیستند.” هنگامیکه یک مهاجم بر روی دستگاه مستقر شد، آنها بهراحتی میتوانند خود را برای رابط کاربری RouterOS نامرئی کنند.”
با آسیبپذیریهای موجود در روترهای MikroTik که برای ایجاد باتنتهای حملات DDoS مانند Mēris به کار گرفته میشوند و از آنها بهعنوان پروکسیهای کنترل و فرمان استفاده میشود، توصیه میشود که کاربران بهسرعت با بهروزرسانی به آخرین نسخه (۶٫۴۹٫۸ یا ۷٫x) آسیب را برطرف کنند.
توصیههای کاهش ریسک، شامل حذف رابطهای مدیریتی MikroTik از اینترنت، محدود کردن آدرسهای IP که مدیران میتوانند از آن وارد شوند، غیرفعال کردن Winbox و رابطهای وب، و پیکربندی SSH برای استفاده از کلیدهای عمومی/خصوصی و غیرفعال کردن رمزهای عبور است.
منبع
مطالب مرتبط
کشف آسیبپذیری جدید روی Zimbra
آسیبپذیری جدید OpenSSH سیستمهای لینوکس را در معرض نفوذ از راه دور قرار میدهد
کرم P2PInfect جدیدی که به سرورهای Redis در سیستمهای لینوکس و ویندوز حمله میکند.
