BleepingComputerによると、識別子 CVE-2023-30799 が割り当てられた MikroTik ルーターの脆弱性により、既存の管理者アカウントを持つリモート攻撃者が、デバイスの Winbox または HTTP インターフェースを介して権限をスーパー管理者に昇格できる可能性があるとのことです。

以前、セキュリティ企業 VulnCheck のレポートでは、脆弱性を悪用するには管理者アカウントが必要であるものの、脆弱性を悪用するための入力はデフォルトのパスワードが変更されていないという事実から得られると説明されていました。研究者らによると、ルーターにはパスワード推測に対する基本的な保護機能が欠けているという。

VulnCheck は、悪意のあるハッカーのチュートリアルになることを懸念して、脆弱性を悪用する概念実証を公開していません。研究者によると、MikroTik デバイスの最大 60% が依然としてデフォルトの管理者アカウントを使用しているとのことです。

MikroTik は、MikroTik RouterOS オペレーティング システム上で実行されるネットワーク デバイスを専門とするラトビアのブランドです。使用時に、ユーザーは Web インターフェイスまたは Winbox アプリケーションの両方で管理ページにアクセスし、LAN または WAN ネットワークを構成および管理できます。

通常、ほとんどの製品では、初期アクセス アカウントは製造元によって「admin」に設定され、パスワードはデフォルトになります。これは、デバイスが攻撃に対して脆弱になるリスクです。

脆弱性 CVE-2023-30799 は、2022 年 6 月に識別子なしで初めて公開され、MikroTik は 2022 年 10 月に RouterOS 安定版 v6.49.7 で、また 2023 年 7 月 19 日には RouterOS 長期版 (v6.49.8) でこの問題を修正しました。

研究者らは、ウェブベースの管理ページにリモートで公開された脆弱なデバイスを 474,000 台発見しました。 VulnCheck は、チームが製造元に連絡を取り、MikroTik ハードウェアへの攻撃方法を共有できたときにのみ、長期バージョンにパッチが適用されたと報告しています。

この脆弱性は Winbox アプリでも悪用される可能性があるため、研究者らは約 926,000 台のデバイスの管理ポートが公開されており、影響はさらに広範囲に及ぶと述べている。

WhiteHat の専門家によると、脆弱性の主な原因は、ユーザーとメーカーの 2 つの要因から生じています。デバイスを購入したユーザーは、製造元のセキュリティ推奨事項を無視し、デバイスのデフォルトのパスワードを変更することを「忘れる」ことがよくあります。しかし、パスワードを変更した後でも、メーカーによる他のリスクは依然として存在します。 MikroTik は、MikroTik RouterOS オペレーティング システムに対するブルート フォース パスワード推測攻撃に対するセキュリティ ソリューションを装備していません。したがって、ハッカーは阻止されることなくツールを使ってアクセス名とパスワードを検出することができます。

さらに、MikroTik は空の管理者パスワードの設定も許可しており、この問題は 2021 年 10 月に RouterOS 6.49 をリリースして対処するまで放置されていました。

リスクを最小限に抑えるために、WhiteHat の専門家は、ユーザーが RouterOS の最新のパッチをすぐに更新することを推奨しています。また、リモート アクセスを防ぐために管理インターフェイスでインターネットを切断したり、管理ページを公開する必要がある場合は強力なパスワードを設定したりといった追加のソリューションを実装することもできます。