Vulnerabilità critica su sistemi operativi RouterOS di Mikrotik 

PROTO: 040723 

CERT Yoroi desidera informarla riguardo una vulnerabilità zero-day sulla tecnologia MikroTik RouterOS con l'identificativo CVE-2023-30799 . 

MikrotikLS, meglio conosciuta semplicemente con il marchio MikroTik, è un'azienda lettone con sede a Riga, produttrice di apparati informatici di networking, in particolare router e apparati wireless, e nota nel mercato dell'hardware a basso costo e ad alta configurabilità dello strato firmware. La tecnologia routerOS se installata su dispositivi, consente di trasformarli in router e conferire le feature di- routing, firewall, bandwidth management, wireless access point, backhaul link, hotspot gateway, VPN server ed altri. 

Di recente, è stato rilasciato un bollettino di sicurezza, riguardante la sua tecnologia RouterOS che tratta di una vulnerabilità critica di cui il vendor ha rilasciato la patch per le versioni vulnerabili 6.49.7 a 6.48.6. La vulnerabilità in questione è di tipo privilege escalation e permette a possibili threat actor di aumentare i loro privilegi da admin a super-admin riuscendo ad ottenere una remote root shell sull'interfaccia Winbox o HTTP. Seppur venga richiesta un'autenticazione per far sì che il bug possa essere sfruttato, si sottolinea come sia facile riuscire a reperire la password di "admin" mediante l'utilizzo di password comuni, conosciute o di default o di un bruteforce attack sula porta API che risulta essere vulnerabile a questo tipo di attacco. Il team di security di VulnCheck ha emanato un POC pubblico relativo alla CVE fornendo una dimostrazione pratica tramite video del funzionamento dell'exploit. 

Questo tipo di dispositivo è passibile di bypass di autenticazione mediante l’utilizzo di password note/standard; pertanto, in un ipotetico scenario di attacco reale, sono plausibili eventuali tentativi di sfruttamento della vulnerabilità da parte della Botnet Mirai che, come è noto, ha come obbiettivo principale dispositivi IoT interfacciati su internet e sfrutta credenziali conosciute per tentare l’accesso e quindi estendersi. 

Approfondendo, il team di threat intelligence di Yoroi rileva quasi 900'000 istanze esposte online di RouteOS vulnerabili di cui circa 30.000 italiane:

Pertanto, si consiglia di seguire le indicazioni di mitigazione fornite aggiornando l'OS alla versione piu recente (6.49.8 o 7.x) e seguendo il workaround suggerito:

• Rimuovere le interfacce amministrative MikroTik da Internet.
• Limitare gli IP da cui gli admin possono accedere.
• Disabilitare Winbox e le interfacce web. Utilizzare SSH solo per l'amministrazione.
• Configurare quindi SSH utilizzando chiavi pubbliche / private e disabilitare le password.

A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanante e successivamente il patching alle versioni suggerite dal vendor.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index

Riferimenti Esterni

• https://gbhackers.com/privilege-escalation-mikrotik-routeros/
• https://vulncheck.com/blog/mikrotik-foisted-revisited
• https://securityaffairs.com/148811/hacking/mikrotik-routeros-critical-flaw.html
• https://www.blackhatethicalhacking.com/news/super-admin-privilege-vulnerability-plagues-mikrotik-routers/?utm_source=rss&utm_medium=rss&utm_campaign=super-admin-privilege-vulnerability-plagues-mikrotik-routers
• https://nvd.nist.gov/vuln/detail/CVE-2023-30799