0
0
Até 900.000 roteadores MikroTik – um alvo popular para agentes de ameaças, incluindo grupos de estados-nação – podem estar abertos a ataques por meio de uma vulnerabilidade de escalonamento de privilégios no sistema operacional RouterOS.
A vulnerabilidade ( CVE-2023-30788 ) oferece aos invasores uma maneira de assumir o controle total dos dispositivos MikroTik baseados no processador MIPS afetados e se conectar à rede de uma organização, de acordo com pesquisadores da VulnCheck, que acaba de publicar várias novas explorações para a falha. Os invasores também podem usá-lo para permitir ataques man-in-the-middle no tráfego de rede que flui pelo roteador, alertaram. Versões do MikroTik RouterOS estáveis antes de 6.49.7 e de longo prazo até 6.48.6 são vulneráveis ao problema.
“O pior cenário é que um invasor pode instalar e executar ferramentas arbitrárias no sistema operacional Linux subjacente”, diz Jacob Baines, pesquisador líder da VulnCheck. “Atacantes remotos e autenticados podem usar a vulnerabilidade para obter um shell root no roteador”, escalando privilégios de nível de administrador para um superadministrador.
O MikroTik lançou uma correção para as versões do RouterOS afetadas e os administradores devem aplicá-la rapidamente. As apostas são altas: MikroTik reivindica várias organizações conhecidas como seus clientes, incluindo NASA, ABB, Ericsson, Saab, Siemens e Sprint. Vários ISPs também usam seus roteadores. Uma pesquisa da Shodan mostrou que, em 18 de julho, havia entre 500.000 e 900.000 roteadores MikroTik vulneráveis ao CVE-2023-30799 por meio de suas interfaces Web ou Winbox.
“Os dispositivos MikroTik foram alvo de invasores avançados por algum tempo porque fornecem acesso poderoso a redes protegidas “, diz Baines. Sabe-se que grupos como TrickBot , VPNFilter e o grupo de ameaças persistentes avançadas Slingshot têm como alvo o dispositivo; em 2022, a Microsoft alertou sobre atores do TrickBot usando roteadores MikroTik como servidores proxy para seus servidores de comando e controle (C2). Além disso, o despejo de dados Wikileaks do Vault 7 de documentos classificados da CIA continha uma exploração para roteadores MikroTik, diz ele.
Uma Cadeia de Programação Orientada a Retorno
O ataque que o VulnCheck desenvolveu requer que a exploração use programação orientada a retorno (ROP). ROP é uma técnica de exploração em que um invasor executa um código mal-intencionado encadeando pequenos pedaços de código existente no sistema. O VulnCheck desenvolveu essencialmente uma nova cadeia ROP que funciona contra o RouterOS na arquitetura MIPS big endian (MIPSBE), diz Baines.
Somente um invasor com acesso autenticado a um dispositivo MikroTik afetado pode explorar a vulnerabilidade. Mas adquirir credenciais para o RouterOS é relativamente fácil, disse o VulnCheck em seu relatório.
Por um lado, o RouterOS vem com uma conta de usuário “admin” com uma string vazia como senha padrão. Muitas organizações não conseguem excluir a conta de administrador, embora o próprio MikroTik recomende que as organizações a excluam.
O RouterOS também não impõe nenhuma restrição às senhas. Portanto, quando os administradores definem a senha, geralmente são fáceis de adivinhar e oferecem pouca proteção contra ataques de força bruta, disse VulnCheck.
De sua parte, o MikroTik não respondeu imediatamente a um pedido de comentário do Dark Reading enviado por meio de seu e-mail de suporte.
FOISTing um novo ataque contra o MikroTik
Embora o MikroTik esteja ciente desse último problema desde pelo menos outubro passado, um identificador CVE e um patch para o RouterOS Long-term não foram lançados até 20 de julho, provavelmente porque o bug não representou nenhum risco real até agora.
Pesquisadores da empresa de segurança Margin Research divulgaram pela primeira vez a vulnerabilidade e uma exploração para ela apelidada de “FOISTed” em junho de 2022. FOISTed permitiu o acesso root shell em uma máquina virtual x86 executando o RouterOS, mas foi um exercício discutível, já que o MikroTik não envia dispositivos baseados em hardware x86, diz Baines.
No entanto, a MikroTik, com sede na Latívia, abordou o problema em uma versão incremental do sistema operacional (Router OS estável 6.49.7) em outubro passado, mas não disponibilizou nenhum patch para as versões principais – ou o que MikroTik chama de versões de “longo prazo” – do RouterOS.
A exploração do VulnCheck, por outro lado, funciona contra o RouterOS na arquitetura MIPSBE que o MikroTik usa em muitos de seus produtos. As explorações, portanto, têm um impacto muito maior, observa Baines: “O FOISted não teve impacto em produtos do mundo real, as descobertas do VulnCheck tiveram muito”.
O fornecedor de segurança descreve sua exploração como uma versão simplificada e mais prática do FOISted da Margin. “A pesquisa do VulnCheck também fez algumas coisas para tornar o exploit uma arma – por exemplo, eliminando o uso de FTP e usando um shell reverso em vez de um shell de ligação”, diz Baines.
Para se proteger, o VulnCheck recomenda que todas as organizações que usam versões afetadas dos dispositivos MikroTik desativem suas interfaces Winbox e Web, restrinjam os endereços IP dos quais os administradores podem fazer login, desativem senhas e configurem o SSH para usar chaves públicas/privadas.
“Em última análise, nossa recomendação é mudar para uma solução sem senha”, diz Baines. Organizações que devem usar senhas deveriam, idealmente, mudar para senhas mais fortes para evitar força bruta .”
FONTE: DARKREADING