Según BleepingComputer , la vulnerabilidad en los enrutadores MikroTik asignada al identificador CVE-2023-30799 permite a un atacante remoto con una cuenta de administrador existente elevar los privilegios a superadmin a través de la interfaz Winbox o HTTP del dispositivo.

Anteriormente, un informe de la firma de seguridad VulnCheck explicó que si bien para explotar la vulnerabilidad se requiere una cuenta de administrador, el factor clave para explotar la vulnerabilidad proviene del hecho de que no se ha cambiado la contraseña predeterminada. Los enrutadores carecen de protecciones básicas contra la adivinación de contraseñas, afirman los investigadores.

VulnCheck no publica pruebas de explotación de la vulnerabilidad por temor a que se convierta en una herramienta de aprendizaje para piratas informáticos maliciosos. Los investigadores dicen que hasta el 60% de los dispositivos MikroTik todavía utilizan la cuenta de administrador predeterminada.

MikroTik es una marca de Letonia especializada en dispositivos de red que funcionan con el sistema operativo MikroTik RouterOS. Al usarlo, los usuarios pueden acceder a la página de administración tanto en la interfaz web como en la aplicación Winbox para configurar y administrar redes LAN o WAN.

Normalmente, la cuenta de acceso inicial la establece el fabricante como "admin" y una contraseña predeterminada para la mayoría de los productos. Este es el riesgo que hace que el dispositivo sea vulnerable a ataques.

La vulnerabilidad CVE-2023-30799 se reveló por primera vez sin un identificador en junio de 2022 y MikroTik solucionó el problema en octubre de 2022 a través de RouterOS estable v6.49.7 y el 19 de julio de 2023 para RouterOS a largo plazo (v6.49.8).

Los investigadores han descubierto 474.000 dispositivos vulnerables cuando se exponen de forma remota a una página de gestión basada en web. VulnCheck informa que la versión de largo plazo solo se parchó cuando el equipo logró contactar al fabricante y compartir cómo atacar el hardware de MikroTik.

Dado que la vulnerabilidad también puede explotarse en la aplicación Winbox, los investigadores dicen que alrededor de 926.000 dispositivos tienen sus puertos de administración expuestos, lo que hace que el impacto sea mucho más amplio.

Según los expertos de WhiteHat, la causa principal de la vulnerabilidad proviene de dos factores: los usuarios y los fabricantes. Los usuarios que compran dispositivos a menudo ignoran las recomendaciones de seguridad del fabricante y "olvidan" cambiar la contraseña predeterminada del dispositivo. Pero incluso después de cambiar la contraseña, todavía existen otros riesgos por parte del fabricante. MikroTik no ha equipado ninguna solución de seguridad contra ataques de adivinación de contraseñas por fuerza bruta en el sistema operativo MikroTik RouterOS. Por lo tanto, los piratas informáticos pueden utilizar herramientas para detectar nombres de acceso y contraseñas sin que esto se les impida.

Además, MikroTik también permitió establecer una contraseña de administrador vacía y dejó este problema sin resolver hasta octubre de 2021, cuando lanzó RouterOS 6.49 para solucionarlo.

Para minimizar los riesgos, los expertos de WhiteHat recomiendan que los usuarios actualicen inmediatamente el último parche para RouterOS, y también pueden implementar soluciones adicionales como desconectar Internet en la interfaz de administración para evitar el acceso remoto y establecer contraseñas seguras si la página de administración debe hacerse pública.