Falha de elevação do Super Admin coloca 900.000 dispositivos MikroTik em risco
26 de Julho de 2023

Uma vulnerabilidade crítica de elevação de privilégio 'Super Admin' coloca em risco mais de 900.000 roteadores MikroTik RouterOS, podendo permitir que atacantes tenham controle total sobre um dispositivo e permaneçam indetectáveis.

A falha, CVE-2023-30799 , permite que atacantes remotos com uma conta de administrador existente elevem seus privilégios para "super-admin" por meio da interface Winbox ou HTTP do dispositivo.

Um relatório VulnCheck publicado hoje explica que, embora a CVE-2023-30799 exija uma conta de administrador existente para ser explorada, isso não é um obstáculo fácil de superar.

Isso ocorre porque o sistema operacional Mikrotik RouterOS não impede ataques de força bruta de senha e vem com um usuário "admin" padrão bem conhecido.

"A exploração 'em massa' será mais difícil, já que são necessárias credenciais válidas.

No entanto, conforme eu detalhei no blog, os roteadores não possuem proteções básicas contra adivinhação de senhas", disse o pesquisador da VulnCheck, Jacob Baines, à BleepingComputer.

"Nós intencionalmente não divulgamos uma prova de conceito de exploração, mas se a tivéssemos, não tenho dúvidas de que a exploração teria sido usada com sucesso rapidamente após o blog ter sido lançado".

A vulnerabilidade Mikrotik CVE-2023-30799 foi divulgada pela primeira vez sem um identificador em junho de 2022, e MikroTik corrigiu o problema em outubro de 2022 para a RouterOS estável (v6.49.7) e em 19 de julho de 2023 para a RouterOS Long-term (v6.49.8).

VulnCheck relata que um patch para a branch de Long-term só foi disponibilizado depois que eles contataram o vendedor e compartilharam novas explorações que visavam o hardware MikroTik.

Os pesquisadores usaram o Shodan para determinar o impacto da falha e descobriram que 474.000 dispositivos eram vulneráveis, pois expunham remotamente a página de gerenciamento baseada na web.

No entanto, como esta vulnerabilidade também é explorável pelo Winbox, um cliente de gerenciamento do Mikrotek, Baines descobriu que 926.000 dispositivos estavam expondo essa porta de gerenciamento, o que torna o impacto muito maior.

Enquanto a exploração dessa vulnerabilidade exige uma conta de administrador existente, ela te eleva a um nível de privilégio superior chamado "Super Admin".

Ao contrário da conta de administrador, que oferece privilégios elevados restritos, o Super Admin dá acesso total ao sistema operacional RouteOS.

"Ao escalar para super admin, o atacante pode alcançar um caminho de código que permite a eles controlar o endereço de uma chamada de função", disse Baines à BleepingComputer.

"Super admin não é um privilégio dado a administradores normais, é um privilégio que deveria ser dado a certas partes do software subjacente (especificamente, neste caso, para carregar bibliotecas para a interface da web) e não para usuários reais.

Isso torna a vulnerabilidade valiosa para atores de ameaças que desejam "jailbreak" no dispositivo RouterOS para fazer alterações significativas no sistema operacional subjacente ou esconder suas atividades da detecção.

Para desenvolver uma exploração para CVE-2023-30799 que obtém um shell de root em dispositivos MikroTik baseados em MIPS, os analistas da VulnCheck usaram a exploração de jailbreak remoto RouterOS FOISted da Margin Research.

A nova exploração desenvolvida pela VulnCheck contorna a necessidade de exposição da interface FTP e não é afetada pelo bloqueio ou filtragem de bindshells, pois usa a interface da web RouterOS para carregar arquivos.

Finalmente, a VulnCheck identificou uma cadeia ROP simplificada que manipula o ponteiro de pilha e o primeiro registro de argumento e chama dlopen, cujas instruções estão presentes em três funções em diferentes versões do RouterOS, garantindo ampla aplicabilidade.

A exploração ainda exige autenticação como "admin", no entanto, a VulnCheck explica que o RouterOS vem com um usuário administrador totalmente funcional por padrão, que cerca de 60% dos dispositivos MikroTik ainda usam, apesar da orientação de hardening do vendedor sugerir sua exclusão.

Além disso, a senha padrão do admin era uma string vazia até outubro de 2021, quando esse problema foi corrigido com o lançamento do RouterOS 6.49.

Finalmente, o RouterOS não impõe requisitos de fortalecimento da senha do administrador, portanto os usuários podem selecionar o que quiserem, o que os torna suscetíveis a ataques de força bruta, para os quais a MikroTik não oferece qualquer proteção, exceto na interface SSH.

"Todo esse cenário mostra que o RouterOS sofre de uma série de problemas que tornam a adivinhação de credenciais administrativas mais fácil do que deveria ser", comenta a VulnCheck.
"Acreditamos que a CVE-2023-30799 é muito mais fácil de ser explorada do que o vetor CVSS indica." Os dispositivos MikroTik já foram alvo de malwares muitas vezes e ajudaram inadvertidamente a construir botnets DDoS recordistas como o botnet Mēris.

Os usuários precisam agir rapidamente para corrigir a falha, aplicando a última atualização para o RouterOS, pois as tentativas de explorar a falha certamente aumentarão em breve.

A orientação de mitigação inclui remover as interfaces administrativas da internet, restringir os endereços IP de login a uma lista de permissões definida, desativar Winbox e usar apenas SSH, e configurar o SSH para usar chaves públicas/privadas em vez de senhas.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...