image

Groot aantal MikroTik-routers bevat lek dat aanvaller super-admin kan maken

woensdag 26 juli 2023, 10:51 door Redactie, 2 reacties

Honderdduizenden MikroTik-routers die vanaf internet benaderbaar zijn bevatten een kwetsbaarheid waardoor een aanvaller super-admin kan worden. MikroTik kwam vorig jaar oktober en afgelopen juni met updates, maar in de release notes staat niet dat een kwetsbaarheid is verholpen. Volgens zoekmachine Shodan zouden 900.000 routers de patch niet geïnstalleerd hebben, zo meldt securitybedrijf Vulncheck.

Via het beveiligingslek, aangeduid als CVE-2023-30799, kan een aanvaller met admin-toegang tot de router super-admin worden. De vereiste dat een aanvaller als admin moet kunnen inloggen maakt de kwetsbaarheid niet minder gevaarlijk, aldus onderzoeker Jacob Baines. RouterOS, het besturingssysteem dat op MikroTik-routers draait, wordt standaard geleverd met een "admin" gebruiker.

Beheerders die hun router extra willen beveiligen wordt aangeraden deze admin-gebruiker te verwijderen. Volgens Baines blijkt uit onderzoek onder 5500 MikroTik-routers dat bijna zestig procent nog steeds de standaard admin-gebruiker gebruikt. Het standaard wachtwoord voor deze gebruiker is een lege string en pas vanaf RouterOS 6.49 die in oktober 2021 verscheen wordt beheerders gevraagd om het lege wachtwoord te vervangen door een nieuw wachtwoord.

RouterOS maakt geen gebruik van wachtwoordregels, waardoor beheerders elk wachtwoord kunnen kiezen, hoe eenvoudig ook. Het besturingssysteem biedt, op de SSH-interface na, geen bescherming tegen bruteforce-aanvallen. "RouterOS heeft te maken met een aantal problemen waardoor het raden van admin-inloggegevens eenvoudiger is dan het zou moeten zijn. We denken dat CVE-2023-30799 veel eenvoudiger te misbruiken is dan de CVSS-vector aangeeft", merkt Baines op.

Beheerders wordt aangeraden om de beheerdersinterfaces van de router niet benaderbaar vanaf het internet te maken. Het aantal ip-adressen te beperken waarmee kan worden ingelogd. De Winbox-webinterface uit te schakelen en alleen SSH voor beheer te gebruiken. SSH zo te configureren dat er met publice/private keys wordt gewerkt en inloggen met een wachtwoord uit te schakelen en natuurlijk het installeren van updates. De kwetsbaarheid is verholpen in RouterOS stable versie 6.49.7 (oktober 2022) en RouterOS long-term versie 6.49.8 (juli 2023).

Reacties (2)
26-07-2023, 12:51 door Anoniem
Sinds kort hebben nieuwe Mikrotik routers een uniek password voor elke afzonderlijke router. Dit wachtwoord staat op een sticker op de router. Dit wachtwoord werkt alleen met het admin account.

Dan zou dus de procedure zijn een twee admin account aanmaken met hetzelfde sticker wachtwoord. Dit voor noodgevallen zolang je fysiek toegang hebt tot de router.

Ik plaats het originele admin account in bij de groep dummy, die geen policies (rechten) heeft en dan "expire" ik het originele admin account. Als een aanvaller toegang krijgt to admin dan kan die niets doen in de router. Is zo dan een soort bliksem afleider.
26-07-2023, 14:56 door Anoniem
Het idee achter "gebruik niet het admin account maar maak een ander account aan en verwijder admin" is dat je daarmee de effectieve lengte van het wachtwoord vergroot. Er is dus op zich niks mis met het "admin" account, alleen hoef je als je al weet dat er een "admin" account is "alleen nog maar" de wachtwoorden te proberen, en als het admin account een andere naam heeft dan moet je als aanvaller zowel de daadwerkelijke naam van het account als het wachtwoord raden.
Ik denk dat dit op zich niets toevoegt, als je wachtwoord al sterk is. Maak het desnoods langer.

Wat veel belangrijker is dat is dat je de beheer interfaces niet vanaf heel internet bereikbaar maakt. Dat beschermt namelijk niet alleen tegen raden van wachtwoorden, maar ook tegen eventuele fouten in de implementatie van die interfaces.
(er zijn eerder bugs geweest, net als in de meeste andere routers, waarmee je informatie kon ophalen zonder dat je een gebruikersnaam of wachtwoord weet. ook bij andere routers geldt: nooit beheer vanaf internet enablen!).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.