Laut BleepingComputer ermöglicht die Sicherheitslücke in MikroTik-Routern mit der Kennung CVE-2023-30799 einem Remote-Angreifer mit einem vorhandenen Administratorkonto, über die Winbox- oder HTTP-Schnittstelle des Geräts seine Berechtigungen zum Superadmin zu erhöhen.

Zuvor wurde in einem Bericht des Sicherheitsunternehmens VulnCheck erklärt, dass zum Ausnutzen der Schwachstelle zwar ein Administratorkonto erforderlich sei, der Anreiz zum Ausnutzen der Schwachstelle jedoch darin liege, dass das Standardkennwort nicht geändert wurde. Laut Forschern fehlt es Routern an einem grundlegenden Schutz gegen das Erraten von Passwörtern.

VulnCheck veröffentlicht keine Beweise für die Ausnutzung der Sicherheitslücke, da man befürchtet, dass das Programm zu einem Schulungstool für böswillige Hacker wird. Forscher sagen, dass bis zu 60 % der MikroTik-Geräte immer noch das Standardadministratorkonto verwenden.

MikroTik ist eine Marke aus Lettland, die auf Netzwerkgeräte spezialisiert ist, die auf dem Betriebssystem MikroTik RouterOS laufen. Bei der Verwendung können Benutzer sowohl über die Weboberfläche als auch über die Winbox-Anwendung auf die Administrationsseite zugreifen, um LAN- oder WAN-Netzwerke zu konfigurieren und zu verwalten.

Normalerweise wird das Erstzugriffskonto vom Hersteller auf „Admin“ und für die meisten Produkte auf ein Standardkennwort festgelegt. Dies ist das Risiko, das dazu führt, dass das Gerät anfällig für Angriffe ist.

Die Schwachstelle CVE-2023-30799 wurde erstmals im Juni 2022 ohne Kennung offengelegt und MikroTik hat das Problem im Oktober 2022 über RouterOS stabil v6.49.7 und am 19. Juli 2023 für RouterOS langfristig (v6.49.8) gepatcht.

Forscher haben 474.000 anfällige Geräte entdeckt, wenn diese per Fernzugriff einer webbasierten Verwaltungsseite zugänglich gemacht werden. VulnCheck berichtet, dass die Langzeitversion erst gepatcht wurde, als es dem Team gelang, Kontakt mit dem Hersteller aufzunehmen und mitzuteilen, wie die MikroTik-Hardware angegriffen werden kann.

Da die Sicherheitslücke auch in der Winbox-App ausgenutzt werden kann, gehen die Forscher davon aus, dass die Verwaltungsports von rund 926.000 Geräten offengelegt sind, was die Auswirkungen noch weitreichender macht.

Laut den WhiteHat-Experten sind zwei Faktoren die Hauptursache für die Sicherheitslücke: Benutzer und Hersteller. Benutzer, die Geräte kaufen, ignorieren häufig die Sicherheitsempfehlungen des Herstellers und „vergessen“, das Standardkennwort des Geräts zu ändern. Doch auch nach einer Passwortänderung drohen weiterhin Risiken seitens des Herstellers. MikroTik hat auf dem MikroTik RouterOS-Betriebssystem keine Sicherheitslösung zum Schutz vor Brute-Force-Angriffen zum Erraten von Passwörtern installiert. Hacker können daher ungehindert mithilfe von Tools Zugangsnamen und Passwörter ausspähen.

Darüber hinaus erlaubte MikroTik auch das Festlegen eines leeren Administratorkennworts und ließ dieses Problem bis Oktober 2021 unbehoben, als sie RouterOS 6.49 zur Behebung des Problems veröffentlichten.

Um Risiken zu minimieren, empfehlen die Experten von WhiteHat den Benutzern, umgehend den neuesten Patch für RouterOS zu installieren. Darüber hinaus können sie zusätzliche Lösungen implementieren, etwa die Internetverbindung auf der Administrationsoberfläche trennen, um Fernzugriffe zu verhindern, oder sichere Passwörter festlegen, wenn die Administrationsseite öffentlich zugänglich sein muss.