Censys: 450.000 MikroTik-routers missen beveiligingsupdate voor rechtenlek
Zo'n 450.000 MikroTik-routers missen een beveiligingsupdate voor een kwetsbaarheid waardoor een aanvaller super-admin op het apparaat kan worden, zo stelt securitybedrijf Censys. MikroTik kwam vorig jaar oktober en afgelopen juni met updates, maar die zijn op een groot aantal routers nog niet geïnstalleerd. Ook niet nadat er eind juli over het beveiligingslek werd bericht. In de week na de berichtgeving bleef het aantal kwetsbare routers nagenoeg gelijk, aldus cijfers die Censys gisteren openbaar maakte.
Via het beveiligingslek, aangeduid als CVE-2023-30799, kan een aanvaller met admin-toegang tot de router super-admin worden. De vereiste dat een aanvaller als admin moet kunnen inloggen maakt de kwetsbaarheid niet minder gevaarlijk, aldus onderzoeker Jacob Baines. RouterOS, het besturingssysteem dat op MikroTik-routers draait, wordt standaard geleverd met een "admin" gebruiker.
Het standaard wachtwoord voor deze gebruiker is een lege string en pas vanaf RouterOS 6.49 die in oktober 2021 verscheen wordt beheerders gevraagd om het lege wachtwoord te vervangen door een nieuw wachtwoord. RouterOS maakt geen gebruik van wachtwoordregels, waardoor beheerders elk wachtwoord kunnen kiezen, hoe eenvoudig ook. Op 27 juli kwam MikroTik nog met een blogposting waarin het beheerders opriep om updates te installeren.
Censys voegt toe dat daarnaast een sterk wachtwoord moet worden ingesteld en de beheerdersinterface niet direct vanaf het internet toegankelijk moet zijn. "Ervoor zorgen dat de beheerdersinterface van apparaten niet onnodig is blootgesteld aan het publieke internet zal het aanvalsoppervlak van je organisatie aanzienlijk verkleinen en tegen eventuele exploits bescherming bieden."
Ik denk dat dit niet meer van deze tijd is...
Wanneer is het onderzoeken erger dan de kwaal?
Ieder is verantwoordelijk te houden voor de eigen veiligheid.
En je brengt ermee ook anderen eventueel in gevaar.
Waarom wordt er zoveel abuse en insecurity gedoogd op de infrastructuur?
Met een brak automobiel met een cementen vloertje mag je toch ook de weg niet op?
Maar digitaal gelden er kennelijk ineens andere eisen.
#webproxy
Wanneer is het onderzoeken erger dan de kwaal?
Inderdaad het is een behoorlijk probleem. Als je een subnet op internet hebt dan krijg je flink wat verkeer binnen van al die scanners en researchers. Met vaak niet eens een vast adres maar dagelijks veranderende adressen binnen de cloudproviders die deze sujetten niet van hun netwerk donderen.
Wie heeft de oplossing om de beheerders van die oude routers te informeren dat zij moeten updaten of hun router dichtzetten?
Wij als gebruikes pushen wel maar veranderingen vragen tijd en tevens een luisterend oor.
Als wij al moeten vechten om die blogpost te krijgen, dan gaat er veel energie verloren hir.
Wie heeft de oplossing om de beheerders van die oude routers te informeren dat zij moeten updaten of hun router dichtzetten?
Er is wel een filmpje waarin uitgelegd wordt hoe je zelf auto-update kunt inschakelen maar dat kijkt uiteraard niemand.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
