全球92万台!RouterOS漏洞曝光:设备面临大规模攻击
漏洞曝光
VulCheck研究人员警告称,MikroTik RouterOS有一个关键漏洞,被追踪为CVE-2023-30799(CVSS得分:9.1),可以针对500000多个RouterOS系统发起大规模攻击。
NIST发布的公告中写道:“ MikroTik RouterOS是一个操作系统,在MikroTik的路由器和其他网络设备上运行,很容易出现权限升级问题。远程且经过身份验证的黑客可以在Winbox或HTTP接口上将权限从管理员升级为超级管理员,从而在路由器上获得根外壳程序,利用此漏洞在系统上执行任意代码。”
该漏洞本身于2022年6月首次披露,但在Vulneck发布新漏洞后才分配了CVE。现在已经有了补丁,但研究人员表示,全球约有47.2万台RouterOS设备通过其网络管理界面仍然存在漏洞,如果通过Winbox管理客户端进行攻击,这一数字将上升到92万多台。
Mikrotik RouterOS操作系统不支持暴力保护,默认的“admin”用户密码在2021年10月之前是空字符串。随着RouterOS 6.49于2021年10月发布,管理员被提示应更改密码。
更让人震惊的是,检测CVE-2023-30799的利用“几乎不可能”,因为RouterOS web和Winbox接口实现了自定义加密,而威胁检测系统Snort和Suricata无法解密和检查这些加密。一旦黑客在设备上站稳脚跟,RouterOS UI就无法看到它。研究人员建议密切关注暴力尝试或将恶意ELF二进制文件上传到设备的行为,以此来识别任何正在进行的攻击。以下是专家们提出的建议:
1.从互联网上删除MikroTik管理界面。
2.限制管理员可以登录的IP地址。
3.禁用Winbox和web界面。仅使用SSH进行管理。
4.配置SSH以使用公钥/私钥并禁用密码。
正如我们所看到的,在硬件上利用CVE-2023-30799非常容易。鉴于RouterOS作为APT目标的悠久历史,再加上FOISted早在一年多前就发布了,应该早有群体发现了这一问题。
