Aproximadamente 900.000 routers de MikroTik, que a menudo son objetivo de amenazas, están potencialmente expuestos a una vulnerabilidad de escalada de privilegios en el sistema operativo RouterOS. Esta vulnerabilidad, identificada como CVE-2023-30788, permite a los atacantes hacerse con el control total de los dispositivos MikroTik afectados, que utilizan procesadores MIPS, e infiltrarse en la red de una organización, según los investigadores.
Los atacantes remotos y autenticados pueden explotar esta vulnerabilidad para obtener un shell raíz en el router mediante la escalada de privilegios a nivel de administrador a la de un super-administrador. La vulnerabilidad también puede ser explotada para permitir ataques man-in-the-middle en el tráfico de red que pasa a través del router.
Esto se debe a que el sistema operativo Mikrotik RouterOS no ofrece ninguna protección contra ataques de fuerza bruta de contraseñas y se envía con un conocido usuario «admin» por defecto, siendo su contraseña una cadena vacía hasta octubre de 2021, momento en el que se pidió a los administradores que actualizaran las contraseñas en blanco con el lanzamiento de RouterOS 6.49.
Un problema a gran escala
La vulnerabilidad Mikrotik CVE-2023-30799 se divulgó por primera vez sin identificador en junio de 2022, y MikroTik corrigió el problema en octubre de 2022 para RouterOS estable (v6.49.7) y el 19 de julio de 2023, para RouterOS a largo plazo (v6.49.8).
VulnCheck informa de que el parche para la rama Long-term sólo estuvo disponible después de que se pusieran en contacto con el proveedor y compartieran nuevos exploits dirigidos al hardware de MikroTik.
Los investigadores utilizaron Shodan para determinar el impacto del fallo y descubrieron que 474.000 dispositivos eran vulnerables, ya que exponían de forma remota la página de gestión basada en web.
Sin embargo, como esta vulnerabilidad también se puede explotar a través de Winbox, un cliente de gestión de Mikrotek, Baines descubrió que 926.000 dispositivos exponían este puerto de gestión, lo que hace que el impacto sea mucho mayor.
MikroTik ha publicado una solución para las versiones de RouterOS afectadas, y es crucial que los administradores la apliquen rápidamente. Entre los clientes de MikroTik se encuentran organizaciones de renombre como la NASA, ABB, Ericsson, Saab, Siemens y Sprint. Varios proveedores de servicios de Internet también utilizan sus routers.
Los dispositivos MikroTik llevan tiempo siendo un objetivo para los atacantes avanzados, ya que ofrecen un potente acceso a las redes protegidas, afirma Baines. Grupos como TrickBot, VPNFilter y el grupo de amenazas persistentes avanzadas Slingshot han atacado estos dispositivos. En 2022, Microsoft emitió una advertencia sobre los actores de TrickBot que utilizaban routers MikroTik como servidores proxy para sus servidores de mando y control (C&C).
La vulnerabilidad sólo puede ser explotada por un atacante con acceso autenticado a un dispositivo MikroTik afectado. Sin embargo, la adquisición de credenciales para RouterOS es relativamente sencilla, ya que RouterOS se suministra con una cuenta de usuario «admin» con una cadena vacía como contraseña por defecto. Muchas organizaciones no eliminan esta cuenta de administrador, a pesar de que MikroTik recomienda hacerlo. RouterOS no impone ninguna restricción a las contraseñas, por lo que son fáciles de adivinar y ofrecen poca protección contra ataques de fuerza bruta.
MikroTik era consciente de este problema desde al menos el pasado mes de octubre, pero el identificador CVE y el parche para RouterOS Long-term no se publicaron hasta el 20 de julio, probablemente porque el fallo no había planteado ningún riesgo en el mundo real hasta ahora. Los investigadores de una empresa de seguridad revelaron por primera vez la vulnerabilidad y un exploit para ella, apodado «FOISTed», en junio de 2022. Sin embargo, este exploit no tuvo ningún impacto en los productos del mundo real.
Parchee sus dispositivos
Los dispositivos MikroTik han sido blanco de malware en numerosas ocasiones y han ayudado inadvertidamente a crear ataques DDoS que han batido récords, como la botnet Mēris. Los usuarios deben actuar con rapidez para parchear el fallo aplicando la última actualización de RouterOS, ya que los intentos de explotar el fallo aumentan rápidamente.
Por otra parte, los investigadores advierten que la detección es casi imposible porque las interfaces web y Winbox de RouterOS implementan esquemas de cifrado personalizados que herramientas como Snort o Suricata pueden descifrar e inspeccionar. Una vez que un atacante ha conseguido introducirse en el dispositivo, no puede ser visible para la interfaz de usuario de RouterOS.
Los investigadores aconsejan vigilar de cerca los intentos de fuerza bruta o la carga de binarios ELF maliciosos en el dispositivo como medio para identificar cualquier ataque en curso.
A continuación, se presentan las recomendaciones proporcionadas por los expertos:
- Elimine las interfaces administrativas de MikroTik de Internet.
- Restrinja las direcciones IP desde las que los administradores pueden iniciar sesión.
- Deshabilite Winbox y las interfaces web. Utilice únicamente SSH para la administración.
- Configure SSH para utilizar claves públicas/privadas y deshabilite las contraseñas.
En última instancia, nuestra recomendación es pasar a una solución sin contraseñas», afirma Baines. Las organizaciones que deben utilizar contraseñas deberían optar por contraseñas más seguras para evitar el forzamiento brusco.
Referencia:
https://securityaffairs.com/148811/hacking/mikrotik-routeros-critical-flaw.html
