Een kritieke bug in MikroTik RouterOS routers stelt aanvallers in staat om het apparaat over te nemen en onzichtbaar te blijven voor de gebruiker. De bug, CVE-2023-30799 genaamd, stelt aanvallers in staat om op afstand toegang te krijgen tot het apparaat via een bestaand admin-account en hun rechten te verhogen naar "Super Admin", waardoor ze volledige controle over het apparaat krijgen. Dit werd ontdekt door onderzoekers van VulnCheck. Het hebben van een bestaand admin-account is niet moeilijk, omdat RouterOS van MikroTik geen bescherming tegen brute force heeft en wordt geleverd met een zeer bekende standaard admin-gebruiker.
Demonstratie van de exploit via VulnCheck
Zoals altijd in dergelijke gevallen is de gebruiker vaak de zwakste schakel als ze het standaard admin-wachtwoord niet aanpassen. Hierdoor wordt het vrij eenvoudig voor aanvallers om met behulp van deze exploit toegang te krijgen tot het apparaat. De eerste variant van de bug was al bekend sinds juni 2022 onder de naam Foisted, waarbij MikroTik de problemen heeft opgelost in RouterOS stable (v6.49.7) in oktober 2022 en pas in RouterOS Long-term (v6.49.9) in juli 2023, na aandringen van de security-onderzoekers van VulnCheck. Via Shodan (een tool waarmee je een soort wereldwijde poortscan kunt uitvoeren) is men erachter gekomen dat er zeker 474.000 apparaten vatbaar zijn voor deze exploit. Maar je kunt deze exploit ook uitvoeren via MikroTik's eigen management client, waardoor er maar liefst 926.000 routers vatbaar zijn voor deze aanval.
De onderzoekers van VulnCheck vermoeden dat deze bug zo lang onder de radar heeft kunnen vliegen omdat de eerste exploit alleen kon worden gebruikt op een virtuele machine die RouterOS draaide. MikroTik zag hier dus geen ernst in en heeft geen actie ondernomen. Maar nu blijkt dat deze exploit via meerdere kanalen kan worden gebruikt, hebben ze wel aanvullende maatregelen genomen. Als je een MikroTik-apparaat hebt, is het zeker aan te raden om de nieuwste versie voor je apparaat te downloaden. Het is namelijk niet de eerste keer dat MikroTik-apparaten werden gebruikt voor een botnet-aanval
Bronnen: BleepComputer, VulnCheck
