Critical MikroTik RouterOS Vulnerability Exposes Over Half a Million Devices to Hacking
2023/07/26 TheHackerNews — MikroTik RouterOS に深刻な権限昇格の脆弱性が発見された。この脆弱性の悪用に成功した攻撃者が、リモートで任意のコードを実行し、脆弱なデバイスを完全に制御する可能性がある。VulnCheck は 7月25日のレポートで、この脆弱性 CVE-2023-30799 (CVSS:9.1) により、合計で約 140万台の RouterOS システムが、Web/Winbox インターフェイスを介して悪用の危険にさらされると明らかにした。
セキュリティ研究者である Jacob Baines は、「CVE-2023-30799 は認証を必要とする。ただし、この脆弱性の悪用に成功した攻撃者は、権限を管理者から “スーパー管理者” へと昇格し、任意の機能にアクセスできるようになる。RouterOS システムへの認証情報は、予想以上に簡単に取得できる」と述べている。
さらに言うと、Mikrotik RouterOS がブルートフォース攻撃に対する保護を提供せす、また、デフォルトの admin ユーザーのパスワードが、2021年10月まで空文字列で出荷されていたという。その後に、Mikrotik は管理者に対して、RouterOS 6.49 で空文字列のパスワードを更新するよう求めている。
もともと、脆弱性 CVE-2023-30799 は、2022年6月に Margin Research により、CVE 識別子を伴わない FOISted と名付けられたエクスプロイトとして公開されたようだ。しかし、この脆弱性が修正されたのは、2022年10月13日の RouterOS stable 6.49.7 であり、2023年7月19日の RouterOS Long term 6.49.8 であった。
7月19日に VulnCheck の研究者が、より広範な MikroTik ハードウェアを攻撃する、新たなエクスプロイトを公開した後に CVE が割り当てられたと、同社は指摘している。
VulnCheck が考案した PoC エクスプロイトは、FOISted から MIPS アーキテクチャ・ベースの新たなエクスプロイト・チェーンを導き出し、ルーター上で root シェルの取得が可能であることを示している。
Baines は、「RouterOS が APT の標的となってきた長い歴史と、FOISted が1年以上前にリリースされたという事実を考慮すると、それを解明した最初のグループは、我々ではないと考えざるを得ない。残念ながら、検知はほぼ不可能だ。RouterOS の Web/Winbox インターフェイスは、Snort も Suricata でも解読/検査できない、カスタム暗号化スキームを実装している。したがって、いったん攻撃者がデバイスに侵入すれば、RouterOS の UI から簡単に身を隠すことができる」と指摘する。
Mikrotik Router の脆弱性は、Mēris のような分散型サービス拒否 (DDoS) ボットネットに脆弱なデバイスを取り込み、C2 プロキシとして悪用させる。そのため、ユーザーに対して推奨されるのは、最新バージョン (6.49.8/7.x) にアップデートを、可能な限り早急に行うことだ。
その他の対策として挙げられるのは、MikroTik 管理インターフェイスのインターネットからの削除/管理者がログインできる IP アドレスの制限/Winbox と Web インターフェイスの無効化/SSH でパブリック・キーおよびシークレット・キーを用いたパスワードの無効化などである。
いわゆる、SOHO ルーターの脆弱性が問題となっているわけですが、ブルートフォース攻撃への対策がなく、また、デフォルトの admin ユーザーのパスワードが空文字列だったという、かなり酷い状況だったようです。つい先日の 2023/07/14 に、「AVrecon という SOHO Router ボットネット:20カ国の 70,000 万台のデバイスを制御」という記事がありました。MikroTik との関連性は分かりませんが、このボットネットに悪用されていても、不自然ではありませんね。
IoT OT Security News 
You must be logged in to post a comment.