Groot aantal MikroTik-routers bevat lek dat aanvaller super-admin kan maken
Honderdduizenden MikroTik-routers die vanaf internet benaderbaar zijn bevatten een kwetsbaarheid waardoor een aanvaller super-admin kan worden. MikroTik kwam vorig jaar oktober en afgelopen juni met updates, maar in de release notes staat niet dat een kwetsbaarheid is verholpen. Volgens zoekmachine Shodan zouden 900.000 routers de patch niet geïnstalleerd hebben, zo meldt securitybedrijf Vulncheck.
Via het beveiligingslek, aangeduid als CVE-2023-30799, kan een aanvaller met admin-toegang tot de router super-admin worden. De vereiste dat een aanvaller als admin moet kunnen inloggen maakt de kwetsbaarheid niet minder gevaarlijk, aldus onderzoeker Jacob Baines. RouterOS, het besturingssysteem dat op MikroTik-routers draait, wordt standaard geleverd met een "admin" gebruiker.
Beheerders die hun router extra willen beveiligen wordt aangeraden deze admin-gebruiker te verwijderen. Volgens Baines blijkt uit onderzoek onder 5500 MikroTik-routers dat bijna zestig procent nog steeds de standaard admin-gebruiker gebruikt. Het standaard wachtwoord voor deze gebruiker is een lege string en pas vanaf RouterOS 6.49 die in oktober 2021 verscheen wordt beheerders gevraagd om het lege wachtwoord te vervangen door een nieuw wachtwoord.
RouterOS maakt geen gebruik van wachtwoordregels, waardoor beheerders elk wachtwoord kunnen kiezen, hoe eenvoudig ook. Het besturingssysteem biedt, op de SSH-interface na, geen bescherming tegen bruteforce-aanvallen. "RouterOS heeft te maken met een aantal problemen waardoor het raden van admin-inloggegevens eenvoudiger is dan het zou moeten zijn. We denken dat CVE-2023-30799 veel eenvoudiger te misbruiken is dan de CVSS-vector aangeeft", merkt Baines op.
Beheerders wordt aangeraden om de beheerdersinterfaces van de router niet benaderbaar vanaf het internet te maken. Het aantal ip-adressen te beperken waarmee kan worden ingelogd. De Winbox-webinterface uit te schakelen en alleen SSH voor beheer te gebruiken. SSH zo te configureren dat er met publice/private keys wordt gewerkt en inloggen met een wachtwoord uit te schakelen en natuurlijk het installeren van updates. De kwetsbaarheid is verholpen in RouterOS stable versie 6.49.7 (oktober 2022) en RouterOS long-term versie 6.49.8 (juli 2023).
Dan zou dus de procedure zijn een twee admin account aanmaken met hetzelfde sticker wachtwoord. Dit voor noodgevallen zolang je fysiek toegang hebt tot de router.
Ik plaats het originele admin account in bij de groep dummy, die geen policies (rechten) heeft en dan "expire" ik het originele admin account. Als een aanvaller toegang krijgt to admin dan kan die niets doen in de router. Is zo dan een soort bliksem afleider.
Ik denk dat dit op zich niets toevoegt, als je wachtwoord al sterk is. Maak het desnoods langer.
Wat veel belangrijker is dat is dat je de beheer interfaces niet vanaf heel internet bereikbaar maakt. Dat beschermt namelijk niet alleen tegen raden van wachtwoorden, maar ook tegen eventuele fouten in de implementatie van die interfaces.
(er zijn eerder bugs geweest, net als in de meeste andere routers, waarmee je informatie kon ophalen zonder dat je een gebruikersnaam of wachtwoord weet. ook bij andere routers geldt: nooit beheer vanaf internet enablen!).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
