Роутеры MikroTik становятся новой мишенью хакеров: взлому подвержены до 900 тысяч устройств

Исследователи VulnCheck обнаружили способ получить полный контроль над устройствами MikroTik, работающими на операционной системе RouterOS. Всё дело в том, что в данном программном обеспечении содержится опасная уязвимость повышения привилегий. Атакующие могут использовать её для проникновения в защищённые сети и перехвата сетевого трафика.

Уязвимость ( CVE-2023-30788 ) затрагивает до 900 тысяч роутеров MikroTik, которые используют процессоры MIPS и RouterOS редакции Stable до 6.49.7 и редакции Long-Term до 6.48.6.

«Наихудший сценарий развития событий заключается в том, что атакующий сможет установить и выполнять произвольные инструменты на базовой операционной системе Linux», — говорит Якоб Бейнс, главный исследователь компании VulnCheck, которая и опубликовала несколько эксплойтов для этой уязвимости. «Удалённые и авторизованные злоумышленники могут использовать уязвимость, чтобы получить root-оболочку на роутере», — повышая привилегии администратора до уровня супер-администратора.

MikroTik оперативно выпустила исправление для затронутых версий RouterOS, поэтому администраторам следует применить его как можно скорее. Среди клиентов компании есть такие известные организации, как NASA, ABB, Ericsson, Saab, Siemens и Sprint. Некоторые крупные интернет-провайдеры из разных стран также используют роутеры данного производителя как основные.

Тем временем, поиск на платформе Shodan показал, что по состоянию на 18 июля в сети было зарегистрировано от 500 тысяч до 900 тысяч роутеров MikroTik, которые всё ещё уязвимы к CVE-2023-30799 через свои интерфейсы Web или Winbox.

«Устройства MikroTik являются лакомой целью для продвинутых злоумышленников уже давно, потому что они обеспечивают мощный доступ к защищённым сетям», — говорит Бейнс.

Таким киберпреступным объединениям, как TrickBot, VPNFilter и Slingshot, — ранее уже удавалось успешно атаковать эти устройства. Так, в 2022 году Microsoft предупреждала о том, что хакеры TrickBot используют роутеры MikroTik в качестве прокси для своих C2-серверов. Кроме того, в утечке документов ЦРУ «Vault 7» на Wikileaks содержался эксплойт для роутеров MikroTik.

Атака, которую разработали специалисты VulnCheck, требует использования возвратно-ориентированного программирования (ROP). Это техника эксплойта, при которой атакующий выполняет вредоносный код, объединяя маленькие кусочки существующего кода программного обеспечения. VulnCheck, по сути, разработала новую цепочку ROP, которая работает против RouterOS на архитектуре MIPS Big Endian (MIPSBE).

Для эксплуатации уязвимости атакующему уже необходим доступ к целевому устройству MikroTik, однако, как сообщают исследователи, получить учётные данные от RouterOS — относительно простая задача для опытных киберпреступников.

Для обеспечения безопасности исследователи VulnCheck рекомендуют всем организациям, использующим затронутые версии устройств MikroTik незамедлительно обновить их до последней версии программного обеспечения. А если это по какой-то причине невозможно, — отключить свои интерфейсы Winbox и Web, ограничить IP-адреса, с которых могут входить администраторы, отключить парольный доступ и настроить SSH для использования публичных/приватных ключей.

«В конечном итоге, мы рекомендуем перейти на решение без использования паролей», — говорит Бейнс. Организациям, которые всё же вынуждены использовать пароли, в идеале следует перейти на более надёжные и сложные пароли, чтобы предотвратить злонамеренную эксплуатацию этой и других уязвимостей.