Une faille d’élévation des privilèges « Super Admin » de gravité critique met en danger plus de 900 000 routeurs MikroTik RouterOS, permettant potentiellement aux attaquants de prendre le contrôle total d’un appareil et de ne pas être détectés.
La faille, CVE-2023-30799, permet aux attaquants distants disposant d’un compte administrateur existant d’élever leurs privilèges à « super-administrateur » via l’interface Winbox ou HTTP de l’appareil.
Un rapport VulnCheck publié aujourd’hui explique que si CVE-2023-30799 nécessite un compte administrateur existant pour être exploité, ce n’est pas une barre basse à franchir.
En effet, le système d’exploitation Mikrotik RouterOS n’empêche pas les attaques par force brute par mot de passe et est livré avec un utilisateur « admin » par défaut bien connu.
« L’exploitation » en masse « va être plus difficile car des informations d’identification valides sont requises. Cependant, comme je l’ai souligné dans le blog, les routeurs manquent de protections de base contre la devinette de mot de passe », a déclaré Jacob Baines, chercheur à VulnCheck, à Breachtrace.
« Nous n’avons intentionnellement pas publié d’exploit de preuve de concept, mais si nous l’avions fait, je ne doute pas que l’exploit aurait été utilisé avec succès dans la nature rapidement après la publication du blog. »
Un problème à grande échelle
La vulnérabilité Mikrotik CVE-2023-30799 a été divulguée pour la première fois sans identifiant en juin 2022, et MikroTik a corrigé le problème en octobre 2022 pour RouterOS stable (v6.49.7) et le 19 juillet 2023 pour RouterOS Long-term (v6.49.8 ).
VulnCheck signale qu’un correctif pour la branche à long terme n’a été mis à disposition qu’après avoir contacté le fournisseur et partagé de nouveaux exploits ciblant le matériel MikroTik.
Les chercheurs ont utilisé Shodan pour déterminer l’impact de la faille et ont découvert que 474 000 appareils étaient vulnérables car ils exposaient à distance la page de gestion Web.
Cependant, comme cette vulnérabilité est également exploitable sur Winbox, un client de gestion Mikrotek, Baines a constaté que 926 000 appareils exposaient ce port de gestion, ce qui rendait l’impact beaucoup plus important.
La vulnérabilité CVE-2023-30799
Bien que l’exploitation de cette vulnérabilité nécessite un compte administrateur existant, elle vous élève à un niveau de privilège supérieur appelé « Super administrateur ».
Contrairement au compte administrateur, qui offre des privilèges élevés restreints, le super administrateur donne un accès complet au système d’exploitation RouteOS.
« En passant au super administrateur, l’attaquant peut atteindre un chemin de code qui lui permet de contrôler l’adresse d’un appel de fonction », a déclaré Baines à Breachtrace.
« Le super administrateur n’est pas un privilège accordé aux administrateurs normaux, c’est un privilège qui est censé être accordé à certaines parties du logiciel sous-jacent (en particulier, dans ce cas, pour charger des bibliothèques pour l’interface Web), et non aux utilisateurs réels.
Cela rend la vulnérabilité précieuse pour les acteurs de la menace qui souhaitent « jailbreaker » l’appareil RouterOS pour apporter des modifications importantes au système d’exploitation sous-jacent ou cacher leurs activités à la détection.
Pour développer un exploit pour CVE-2023-30799 qui obtient un shell racine sur les appareils MikroTik basés sur MIPS, les analystes de VulnCheck ont utilisé l’exploit de jailbreak FOISted Remote RouterOS de Margin Research.
Le nouvel exploit développé par VulnCheck contourne l’exigence d’exposition de l’interface FTP et n’est pas affecté par le blocage ou le filtrage des bindshells, car il utilise l’interface Web RouterOS pour télécharger des fichiers.
Enfin, VulnCheck a identifié une chaîne ROP simplifiée qui manipule le pointeur de pile et le premier registre d’arguments et appelle dlopen, dont les instructions sont présentes dans trois fonctions sur différentes versions de RouterOS, garantissant une large applicabilité.
L’exploit nécessite toujours une authentification en tant qu’« administrateur », cependant, VulnCheck explique que RouterOS est livré avec un utilisateur administrateur entièrement fonctionnel par défaut, que près de 60 % des appareils MikroTik utilisent encore malgré les conseils de durcissement du fournisseur suggérant sa suppression.
De plus, le mot de passe administrateur par défaut était une chaîne vide jusqu’en octobre 2021, date à laquelle ce problème a été résolu avec la sortie de RouterOS 6.49.
Enfin, RouterOS n’impose pas d’exigences de renforcement du mot de passe administrateur, de sorte que les utilisateurs peuvent définir ce qu’ils veulent, ce qui les rend vulnérables aux attaques par force brute, pour lesquelles MikroTik n’offre aucune protection sauf sur l’interface SSH.
« Tout cela pour dire que RouterOS souffre d’une variété de problèmes qui rendent la devinette des informations d’identification administratives plus facile qu’elle ne devrait l’être », commente VulnCheck.
« Nous pensons que CVE-2023-30799 est beaucoup plus facile à exploiter que ne l’indique le vecteur CVSS. »
Patchez vos appareils
Les appareils MikroTik ont été ciblés à plusieurs reprises par des logiciels malveillants et ont contribué par inadvertance à créer des essaims DDoS record comme le botnet Mēris.
Les utilisateurs doivent agir rapidement pour corriger la faille en appliquant la dernière mise à jour de RouterOS, car les tentatives d’exploitation de la faille vont bientôt augmenter.
Les conseils d’atténuation incluent la suppression des interfaces administratives d’Internet, la restriction des adresses IP de connexion à une liste autorisée définie, la désactivation de Winbox et l’utilisation de SSH uniquement, et la configuration de SSH pour utiliser des clés publiques/privées au lieu de mots de passe.