เราเตอร์ MikroTik ในเวียดนามเสี่ยงต่อการถูกโจมตี

ตามรายงานของ BleepingComputer ช่องโหว่บนเราเตอร์ MikroTik ที่ได้รับมอบหมายรหัสประจำตัว CVE-2023-30799 ช่วยให้ผู้โจมตีจากระยะไกลโดยใช้บัญชีผู้ดูแลระบบอยู่แล้วสามารถยกระดับสิทธิ์ให้เป็นผู้ดูแลระบบระดับสูงผ่านทาง Winbox หรืออินเทอร์เฟซ HTTP ของอุปกรณ์ได้

ก่อนหน้านี้ รายงานจากบริษัทความปลอดภัย VulnCheck อธิบายว่า แม้การใช้ประโยชน์จากช่องโหว่นี้จะต้องอาศัยบัญชีผู้ดูแลระบบ แต่อินพุตในการใช้ประโยชน์จากช่องโหว่นี้มาจากข้อเท็จจริงที่ว่าไม่มีการเปลี่ยนรหัสผ่านเริ่มต้น นักวิจัยกล่าวว่าเราเตอร์ขาดการป้องกันพื้นฐานในการคาดเดารหัสผ่าน

VulnCheck ไม่เปิดเผยหลักฐานแนวคิดสำหรับการแสวงประโยชน์จากช่องโหว่นี้เนื่องจากกังวลว่าจะกลายเป็นเพียงบทช่วยสอนสำหรับแฮกเกอร์ที่ไม่หวังดี นักวิจัยกล่าวว่าอุปกรณ์ MikroTik มากถึง 60% ยังคงใช้บัญชีผู้ดูแลระบบเริ่มต้น

Bộ định tuyến MikroTik tại Việt Nam dễ bị tấn công - Ảnh 1. — MikroTik เป็นแบรนด์เราเตอร์ที่มีอยู่ในตลาดเวียดนาม

MikroTik เป็นแบรนด์จากลัตเวียที่เชี่ยวชาญด้านอุปกรณ์เครือข่ายที่ทำงานบนระบบปฏิบัติการ MikroTik RouterOS เมื่อใช้งาน ผู้ใช้สามารถเข้าถึงหน้าการดูแลระบบได้ทั้งบนอินเทอร์เฟซเว็บหรือแอปพลิเคชัน Winbox เพื่อกำหนดค่าและจัดการเครือข่าย LAN หรือ WAN

โดยทั่วไป บัญชีการเข้าถึงเริ่มต้นจะถูกตั้งค่าโดยผู้ผลิตเป็น "ผู้ดูแลระบบ" และรหัสผ่านเริ่มต้นสำหรับผลิตภัณฑ์ส่วนใหญ่ นี่คือความเสี่ยงที่ทำให้เครื่องเสี่ยงต่อการถูกโจมตี

ช่องโหว่ CVE-2023-30799 ถูกเปิดเผยครั้งแรกโดยไม่มีตัวระบุในเดือนมิถุนายน 2022 และ MikroTik ได้แก้ไขปัญหาในเดือนตุลาคม 2022 ผ่านทาง RouterOS เวอร์ชันเสถียร v6.49.7 และในวันที่ 19 กรกฎาคม 2023 สำหรับ RouterOS ในระยะยาว (v6.49.8)

นักวิจัยค้นพบอุปกรณ์ที่มีช่องโหว่ 474,000 เครื่องเมื่อถูกเปิดเผยผ่านเพจการจัดการบนเว็บ VulnCheck รายงานว่าเวอร์ชันระยะยาวได้รับการแก้ไขเมื่อทีมงานสามารถติดต่อกับผู้ผลิตและแบ่งปันวิธีการโจมตีฮาร์ดแวร์ MikroTik ได้

เนื่องจากช่องโหว่ดังกล่าวยังสามารถถูกใช้ประโยชน์บนแอป Winbox ได้ด้วย นักวิจัยกล่าวว่ามีอุปกรณ์ประมาณ 926,000 เครื่องที่มีพอร์ตการจัดการเปิดเผย ซึ่งทำให้ผลกระทบในวงกว้างมากขึ้น

ตามที่ผู้เชี่ยวชาญของ WhiteHat กล่าว สาเหตุหลักของช่องโหว่นี้มาจากปัจจัยสองประการคือ ผู้ใช้และผู้ผลิต ผู้ใช้ที่ซื้ออุปกรณ์มักจะละเลยคำแนะนำด้านความปลอดภัยของผู้ผลิตและ "ลืม" ที่จะเปลี่ยนรหัสผ่านเริ่มต้นของอุปกรณ์ แต่ถึงจะเปลี่ยนรหัสผ่านแล้วก็ยังมีความเสี่ยงจากผู้ผลิตอีก MikroTik ไม่ได้ติดตั้งโซลูชั่นความปลอดภัยใดๆ เพื่อต่อต้านการโจมตีด้วยการคาดเดารหัสผ่านแบบ brute-force บนระบบปฏิบัติการ MikroTik RouterOS แฮกเกอร์จึงสามารถใช้เครื่องมือในการตรวจจับชื่อการเข้าถึงและรหัสผ่านโดยไม่สามารถป้องกันได้

Bộ định tuyến MikroTik tại Việt Nam dễ bị tấn công - Ảnh 2. — VulnCheck สาธิตการใช้ประโยชน์จากจุดบกพร่องด้านความปลอดภัยบนเราเตอร์ MikroTik

นอกจากนี้ MikroTik ยังอนุญาตให้ตั้งรหัสผ่านผู้ดูแลระบบว่างเปล่าและปล่อยให้ปัญหาไม่ได้รับการแก้ไขจนกระทั่งเดือนตุลาคม 2021 เมื่อเปิดตัว RouterOS 6.49 เพื่อแก้ไขปัญหานี้

เพื่อลดความเสี่ยง ผู้เชี่ยวชาญของ WhiteHat แนะนำให้ผู้ใช้ทำการอัปเดตแพตช์ล่าสุดสำหรับ RouterOS ทันที และสามารถใช้โซลูชั่นเพิ่มเติม เช่น การตัดการเชื่อมต่ออินเทอร์เน็ตบนอินเทอร์เฟซการดูแลระบบเพื่อป้องกันการเข้าถึงระยะไกล และการตั้งรหัสผ่านที่แข็งแรงหากจำเป็นต้องเปิดเผยหน้าการดูแลระบบต่อสาธารณะ

ลิงค์ที่มา