セキュリティ専門家は、ラトビアのネットワーク機器メーカーMikroTikが製造する数十万台のルーターが、攻撃者に影響を受けたデバイスを遠隔操作させ得る重大なバグの影響を受ける可能性があると警告した。
VulnCheckの研究者Jacob Baines氏は昨日のブログ投稿で、遠隔かつ認証済みの攻撃者がCVE-2023-30799を悪用して、MikroTik RouterOSルーター上でrootシェルを取得できると説明した。
MikroTikの脆弱性について詳しく読む:MikroTik RouterOSで脆弱性が発見
Baines氏によれば、この脆弱性自体は2022年6月に最初に開示されたが、VulnCheckが新たなエクスプロイトを公開した後になって初めてCVEが割り当てられたという。現在はパッチが利用可能だが、同氏は、ウェブ管理インターフェース経由では世界で約472,000台のRouterOSデバイスが依然として脆弱であり、Winbox管理クライアント経由で悪用される場合はその数が92万台超に増えると主張した。
この脆弱性自体は特権昇格のバグで、CVSSスコアは9.1である。
「遠隔かつ認証済みの攻撃者は、WinboxまたはHTTPインターフェース上で管理者からスーパー管理者へ特権を昇格できる。攻撃者はこの脆弱性を悪用して、システム上で任意のコードを実行できる」と、National Vulnerability Database (NVD)の記載にはある。
Baines氏は、バグの悪用には認証が必要ではあるものの、これは想像以上に容易だと警告した。
VulnCheckは、RouterOSユーザーの約60%が依然としてデフォルトのadminユーザーを使用していると主張した。
「RouterOSには、完全に機能する『admin』ユーザーが同梱されている。ハードニングのガイダンスでは管理者に『admin』ユーザーを削除するよう指示しているが、多くのインストール環境でそれが行われていないことが分かっている」とBaines氏は説明した。
「さらに悪いことに、デフォルトの『admin』パスワードは空文字列であり、RouterOSが空のパスワードの更新を管理者に促すようになったのはRouterOS 6.49(2021年10月)になってからだった。管理者が新しいパスワードを設定していても、RouterOSは何の制限も強制しない。どれほど単純であっても、管理者は任意のパスワードを設定できる。特に不運なのは、システムが(SSHインターフェースを除き)ブルートフォース対策を提供していないことだ。」
顧客の苦境に追い打ちをかけているのは、CVE-2023-30799の悪用を検知することが、RouterOSのWebおよびWinboxインターフェースがカスタム暗号化を実装しており、脅威検知システムのSnortやSuricataが復号して検査できないため、「ほぼ不可能」だという事実だと、Baines氏は付け加えた。
つまり、攻撃者を捕捉する最善のタイミングは、攻撃者がその手段を選ぶのであれば、adminの認証情報をブルートフォースしようとしているときということになる。
編集用画像クレジット:awstoys / Shutterstock.com
翻訳元: https://www.infosecurity-magazine.com/news/900000-mikrotik-routers-critical/
