По данным BleepingComputer , уязвимость на маршрутизаторах MikroTik, которой присвоен идентификатор CVE-2023-30799, позволяет удаленному злоумышленнику с существующей учетной записью администратора повысить привилегии до суперадминистратора через Winbox или HTTP-интерфейс устройства.

Ранее в отчете компании VulnCheck, занимающейся безопасностью, объяснялось, что, хотя для эксплуатации уязвимости требуется учетная запись администратора, входные данные для эксплуатации уязвимости исходят из того, что пароль по умолчанию не был изменен. Исследователи утверждают, что маршрутизаторы не имеют элементарной защиты от подбора пароля.

VulnCheck не публикует доказательства эксплуатации уязвимости из опасения, что она станет обучающим инструментом для злонамеренных хакеров. Исследователи утверждают, что до 60% устройств MikroTik по-прежнему используют учетную запись администратора по умолчанию.

MikroTik — бренд из Латвии, специализирующийся на сетевых устройствах, работающих на операционной системе MikroTik RouterOS. При использовании пользователи могут получить доступ к странице администрирования как через веб-интерфейс, так и через приложение Winbox для настройки и управления сетями LAN или WAN.

Обычно производитель устанавливает для учетной записи первоначального доступа имя «admin» и пароль по умолчанию для большинства продуктов. Это риск, который приводит к тому, что устройство становится уязвимым для атак.

Уязвимость CVE-2023-30799 была впервые раскрыта без идентификатора в июне 2022 года, а MikroTik исправила проблему в октябре 2022 года в стабильной версии RouterOS v6.49.7 и 19 июля 2023 года в долгосрочной версии RouterOS (v6.49.8).

Исследователи обнаружили 474 000 уязвимых устройств при удаленном доступе к веб-странице управления. VulnCheck сообщает, что долгосрочная версия была исправлена ​​только после того, как команде удалось связаться с производителем и поделиться способами атаки на оборудование MikroTik.

Поскольку уязвимость может быть использована и в приложении Winbox, исследователи утверждают, что около 926 000 устройств имеют уязвимые порты управления, что делает воздействие гораздо более масштабным.

По мнению экспертов WhiteHat, основная причина уязвимости кроется в двух факторах: пользователях и производителях. Пользователи, покупающие устройства, часто игнорируют рекомендации производителя по безопасности и «забывают» изменить пароль устройства по умолчанию. Но даже после смены пароля все равно остаются другие риски со стороны производителя. Компания MikroTik не оснастила операционную систему MikroTik RouterOS каким-либо защитным решением от атак методом подбора пароля. Таким образом, хакеры могут использовать инструменты для обнаружения имен доступа и паролей, не опасаясь никаких препятствий.

Более того, MikroTik также разрешил устанавливать пустой пароль администратора и оставил эту проблему без внимания до октября 2021 года, когда была выпущена RouterOS 6.49 для ее решения.

Чтобы минимизировать риски, эксперты WhiteHat рекомендуют пользователям немедленно обновиться до последней версии RouterOS, а также могут реализовать дополнительные решения, такие как отключение интернета на интерфейсе администрирования для предотвращения удаленного доступа и установка надежных паролей, если страницу администрирования необходимо сделать общедоступной.