Language
MikroTik の脆弱性を利用して 900,000 台のルーターがハイジャックされる可能性がある (CVE)
ホームページホームページ > ニュース > MikroTik の脆弱性を利用して 900,000 台のルーターがハイジャックされる可能性がある (CVE)
最新ニュース

MikroTik の脆弱性を利用して 900,000 台のルーターがハイジャックされる可能性がある (CVE)

Nov 03, 2023

VulnCheck の研究者である Jacob Baines 氏によると、特権昇格の脆弱性 (CVE-2023-30799) により、攻撃者が最大 900,000 台の MikroTik ルーターを強奪できる可能性があります。

エクスプロイトには認証が必要ですが、ルーターにアクセスするための資格情報の取得はそれほど難しくありません。

「RouterOS(基盤となるオペレーティング システム)には、完全に機能する「管理者」ユーザーが同梱されています。 強化ガイダンスでは管理者に「admin」ユーザーを削除するように指示していますが、多くのインストールが削除されていないことはわかっています」とベインズ氏は説明しました。 「Shodan のホストのサンプル (n=5500) を調査したところ、60% 近くが依然としてデフォルトの管理者ユーザーを使用していることがわかりました。」

これに加えて、2021 年 10 月までは、デフォルトの「admin」パスワードは空の文字列であり、管理者に変更を求めるプロンプトは表示されませんでした。

「管理者が新しいパスワードを設定した場合でも、RouterOS はいかなる制限も強制しません。 管理者は、どんなに簡単なパスワードであっても、任意のパスワードを自由に設定できます。 このシステムはブルート フォース保護を提供していないため (SSH インターフェイスを除く)、これは特に残念です。」と彼は付け加えました。

CVE-2023-30799 の興味深い点は、これが特権の昇格を可能にするバグであるということではなく、攻撃者が「スーパー管理者」特権を取得できるようになり、デバイスの OS へのフル アクセスが可能になり、場合によっては、検出できない変更を加えます。

この脆弱性には今年 CVE 番号が付与されましたが、その存在は Margin Research の Ian Dupont 氏と Harrison Green 氏が RouterOS x86 仮想マシン上のルート シェルを取得できる FOISted と呼ばれるエクスプロイトをリリースした 2022 年 6 月以来知られていました。

この脆弱性は、その年の後半に RouterOS 安定ブランチで修正されました (修正は v6.49.7 で出荷されました) が、最新ではないものの依然として広く使用されているバージョンの OS で構成される RouterOS 長期ブランチでは修正されていませんでした。

研究者らが Web または Winbox インターフェイスを介して MIPS ベースの MikroTik デバイス上で動作する FOISted エクスプロイトを移植および実証した後、RouterOS Long-term のパッチが先週リリースされました。

「合計で、Shodan は、Web インターフェイスや Winbox インターフェイスを介して、CVE-2023-30799 に対して脆弱な RouterOS システムをそれぞれ約 500,000 と 900,000 のインデックスに登録しています」と Baines 氏は述べました。

彼らはこのエクスプロイトを公にしていませんが、競争は続いています。 これまで、攻撃者はさまざまな不正な目的 (クリプトジャッキング、C2 通信プロキシの設定、エクスプロイト配信) を目的として MikroTik ルーターを侵害してきました。

また、攻撃者がすでにエクスプロイトを開発し、気づかれずにそれを使用している可能性もあります。

「通常の状況では、悪用の検出はシステムを保護するための適切な第一歩であると言えます。 残念ながら、検出はほぼ不可能です。 RouterOS Web および Winbox インターフェイスは、Snort も Suricata も復号化および検査できないカスタム暗号化スキームを実装しています。 攻撃者がデバイス上に確立されると、RouterOS UI から攻撃者自身を簡単に見えなくすることができます」と Baines 氏は共有しました。

「Microsoft は潜在的な悪意のある構成変更を特定するツールセットを公開しましたが、攻撃者がシステムへの root アクセス権を持っている場合には構成変更は必要ありません。」

MikroTik ルーターの管理者/ユーザーは、固定バージョン (安定版または長期版) にアップグレードし、一般に、リモート アクターによるこの種の攻撃や同様の攻撃を防ぐために攻撃対象領域を最小限に抑えることをお勧めします。

ベインズ氏によると、インターネットからMikroTik管理インターフェースを削除したり、管理者がログインできるIPアドレスを制限したり、WinboxやWebインターフェースを無効にしたりすることで実現できるという。 「SSH は管理にのみ使用してください。 公開キー/秘密キーを使用し、パスワードを無効にするように SSH を構成します。」