Národní úřad pro kybernetickou a informační bezpečnost upozorňuje na zranitelnost CVE-2023-30799, která se týká operačního systému MikroTik RouterOS. Tato zranitelnost umožňuje uživateli s oprávněním „admin“ eskalovat oprávnění na úroveň „super admin“.
Ačkoliv k využití zranitelnosti je třeba autentizovaný uživatel s oprávněním „admin“, mnoho zařízení má do internetu otevřená webová nebo jiná administrátorská rozhraní, přes která může docházet k tzv. brute-force útoku na kombinaci login:heslo. V rámci těchto útoků může dojít např. i k prolomení slabého hesla k účtu s tímto oprávněním.
Rozdíl mezi „admin“ a „super admin“ oprávněním:
Oprávnění „admin“ neumožňuje manipulaci s kódem routeru. Oprávnění „super admin“ ano. Toto oprávnění by útočníkům mohlo dát možnost změnit chování routeru a skrýt toto chování.
Dotčené verze MikroTik RouterOS:
6.49.7 long-term, 6.49.6 stable a nižší
Mitigace zranitelnosti:
Upgrade OS na verzi 6.49.8 long-term, 6.49.7 stable nebo verzi 7.7.x a novější.
Omezit přístup k webovému a Winbox rozhraní z internetu:
Vypnutí a umožnění přístupu pouze přes SSH s privátním/veřejným klíčem bez autentizace za pomocí hesla.
Omezení přístupu k účtu pouze z určitých IP adres také pomůže.
Zdroje:
https://vulncheck.com/blog/mikrotik-foisted-revisited
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
https://blog.mikrotik.com/security/cve-2023-30799.html
https://www.bleepingcomputer.com/news/security/super-admin-elevation-bug-puts-900-000-mikrotik-devices-at-risk/
Celá zpráva
28.07.2023
