超级管理员权限提升漏洞使90万台设备面临风险

网络安全应急技术国家工程中心 2023-07-27 15:13

严重的“超级管理员”权限提升缺陷使超过 90万个 MikroTik RouterOS 路由器面临风险，可能使攻击者能够完全控制设备并且不被发现。

该漏洞 CVE-2023-30799 允许拥有现有管理员帐户的远程攻击者通过设备的 Winbox 或 HTTP 接口将其权限提升为“超级管理员”。

发布的报告链接：

https://vulncheck.com/blog/mikrotik-foisted-revisited

解释说，虽然 CVE-2023-30799 需要现有的管理员帐户才能利用，但这并不是一个需要清除的低门槛。

这是因为 Mikrotik RouterOS 操作系统无法防止密码暴力攻击，并且带有众所周知的默认“admin”用户。

由于需要有效的凭据，‘集体’利用将变得更加困难。然而，正如在博客中概述的那样，路由器缺乏针对密码猜测的基本保护。

我们故意没有发布概念验证漏洞，但如果我们发布了，我毫不怀疑该漏洞在博客发布后很快就会在野外成功使用。

Mikrotik CVE-2023-30799 漏洞于 2022 年 6 月首次在没有标识符的情况下披露，MikroTik 于 2022 年 10 月修复了 RouterOS 稳定版 (v6.49.7) 的问题，并于 2023 年 7 月 19 日修复了 RouterOS 长期版 (v6.49.8) 的问题。）。

报告称，只有在他们联系供应商并分享了针对 MikroTik 硬件的新漏洞后，才提供了长期分支的补丁。

研究人员使用 Shodan 来确定该缺陷的影响，发现有 474000 台设备容易受到攻击，因为它们远程暴露了基于 Web 的管理页面。

然而，由于此漏洞也可通过 Mikrotek 管理客户端 Winbox 进行利用，Baines 发现有 926000 台设备暴露了此管理端口，影响更大。

CVE-2023-30799 漏洞

虽然利用此漏洞需要现有的管理员帐户，但它会将您提升到称为“超级管理员”的更高权限级别。 

与提供受限提升权限的管理员帐户不同，超级管理员提供对 RouteOS 操作系统的完全访问权限。

通过升级为超级管理员，攻击者可以到达允许他们控制函数调用地址的代码路径。

超级管理员不是授予普通管理员的特权，而是应该授予底层软件的某些部分（具体来说，在本例中为 Web 界面加载库）的特权，而不是授予实际用户的特权。

这使得该漏洞对于希望“越狱” RouterOS 设备以对底层操作系统进行重大更改或隐藏其活动以防止检测的威胁行为者来说非常有价值。

为了开发 CVE-2023-30799 的漏洞利用程序，在基于 MIPS 的 MikroTik 设备上获取根 shell。

分析师使用了 Margin Research 的 FOISted 远程 RouterOS 越狱漏洞利用程序。

分析师开发的新漏洞绕过了 FTP 接口暴露的要求，并且不受 Bindshell 阻止或过滤的影响，因为它使用 RouterOS Web 界面上传文件。

最后，分析师确定了一个简化的 ROP 链，该链操作堆栈指针和第一个参数寄存器并调用 dlopen，其指令存在于不同 RouterOS 版本的三个函数中，确保了广泛的适用性。

该漏洞仍然需要“管理员”身份验证，但是，RouterOS 默认情况下附带一个功能齐全的管理员用户，尽管供应商的强化指南建议删除该用户，但近 60% 的 MikroTik 设备仍在使用该用户。

此外，默认的管理员密码一直是空字符串，直到 2021 年 10 月，随着 RouterOS 6.49 的发布解决了这个问题。

最后，RouterOS 没有强加管理员密码强化要求，因此用户可以设置任何他们喜欢的内容。

这使得他们容易受到暴力攻击，而 MikroTik 对此不提供任何保护（除了 SSH 接口）。

所有这些都表明，RouterOS 存在多种问题，使得猜测管理凭据比应有的容易。”

我们相信 CVE-2023-30799 比 CVSS 矢量表明的更容易被利用。

MikroTik 设备多次成为恶意软件的目标，并无意中帮助建立了破纪录的 DDoS 群，例如 Mēris 僵尸网络。

用户需要快速采取行动，通过应用 RouterOS 的最新更新来修补该漏洞 ，因为利用该漏洞的尝试肯定会很快增加。

缓解建议包括从互联网上删除管理界面、将登录 IP 地址限制在定义的允许列表中、禁用 Winbox 并仅使用 SSH，以及将 SSH 配置为使用公钥/私钥而不是密码 。

原文来源：网络研究院

“投稿联系方式：孙中豪 010-82992251   [email protected]”