Selon BleepingComputer , la vulnérabilité sur les routeurs MikroTik attribuée à l'identifiant CVE-2023-30799 permet à un attaquant distant avec un compte administrateur existant d'élever les privilèges à superadmin via l'interface Winbox ou HTTP de l'appareil.

Auparavant, un rapport de la société de sécurité VulnCheck expliquait que même si l'exploitation de la vulnérabilité nécessite un compte administrateur, l'entrée pour exploiter la vulnérabilité vient du fait que le mot de passe par défaut n'a pas été modifié. Les routeurs manquent de protections de base contre la devinette de mot de passe, affirment les chercheurs.

VulnCheck ne publie pas de preuve de concept pour l'exploitation de la vulnérabilité par crainte qu'elle ne devienne un tutoriel pour les pirates malveillants. Les chercheurs affirment que jusqu'à 60 % des appareils MikroTik utilisent encore le compte administrateur par défaut.

MikroTik est une marque lettone spécialisée dans les périphériques réseau, fonctionnant sur le système d'exploitation MikroTik RouterOS. Lors de l'utilisation, les utilisateurs peuvent accéder à la page d'administration sur l'interface Web ou l'application Winbox pour configurer et gérer les réseaux LAN ou WAN.

En règle générale, le compte d'accès initial est défini par le fabricant comme « admin » et un mot de passe par défaut pour la plupart des produits. C’est le risque qui rend l’appareil vulnérable aux attaques.

La vulnérabilité CVE-2023-30799 a été divulguée pour la première fois sans identifiant en juin 2022 et MikroTik a corrigé le problème en octobre 2022 via RouterOS stable v6.49.7 et le 19 juillet 2023 pour RouterOS à long terme (v6.49.8).

Les chercheurs ont découvert 474 000 appareils vulnérables lorsqu'ils sont exposés à distance à une page de gestion Web. VulnCheck rapporte que la version à long terme n'a été corrigée que lorsque l'équipe a réussi à contacter le fabricant et à partager comment attaquer le matériel MikroTik.

Étant donné que la vulnérabilité peut également être exploitée sur l'application Winbox, les chercheurs affirment qu'environ 926 000 appareils ont leurs ports de gestion exposés, ce qui rend l'impact beaucoup plus large.

Selon les experts de WhiteHat, la principale cause de la vulnérabilité provient de deux facteurs : les utilisateurs et les fabricants. Les utilisateurs qui achètent des appareils ignorent souvent les recommandations de sécurité du fabricant et « oublient » de modifier le mot de passe par défaut de l'appareil. Mais même après avoir changé le mot de passe, il existe toujours d'autres risques liés au fabricant. MikroTik n'a équipé aucune solution de sécurité contre les attaques de devinette de mot de passe par force brute sur le système d'exploitation MikroTik RouterOS. Les pirates peuvent donc utiliser des outils pour détecter les noms d’accès et les mots de passe sans en être empêchés.

De plus, MikroTik a également permis de définir un mot de passe administrateur vide et a laissé ce problème sans solution jusqu'en octobre 2021, date à laquelle il a publié RouterOS 6.49 pour le résoudre.

Pour minimiser les risques, les experts WhiteHat recommandent aux utilisateurs de mettre à jour immédiatement le dernier correctif pour RouterOS, et peuvent également mettre en œuvre des solutions supplémentaires telles que la déconnexion d'Internet sur l'interface d'administration pour empêcher l'accès à distance et la définition de mots de passe forts si la page d'administration doit être rendue publique.