Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/super-admin-elevation-bug-puts-900-000-mikrotik-devices-at-risk/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #bug #de #elevação #do #super #admin #coloca #900.000 #dispositivos #mikrotik #em #risco
Uma falha de elevação de privilégio de 'Super Admin' de gravidade crítica coloca mais de 900.000 roteadores MikroTik RouterOS em risco, potencialmente permitindo que invasores assumam o controle total sobre um dispositivo e permaneçam indetectáveis.
A falha, CVE-2023-30799, permite que invasores remotos com uma conta de administrador existente elevem seus privilégios para "superadministrador" por meio do Winbox ou da interface HTTP do dispositivo.
Um relatório do VulnCheck publicado hoje explica que, embora o CVE-2023-30799 exija uma conta de administrador existente para explorar, essa não é uma barra baixa a ser eliminada.
Isso ocorre porque o sistema operacional Mikrotik RouterOS não impede ataques de força bruta de senha e vem com um usuário "admin" padrão bem conhecido.
"A exploração 'em massa' será mais difícil, pois são necessárias credenciais válidas. No entanto, como descrevi no blog, os roteadores carecem de proteções básicas contra a adivinhação de senhas", disse Jacob Baines, pesquisador do VulnCheck, ao BleepingComputer.
"Intencionalmente, não lançamos uma exploração de prova de conceito, mas se tivéssemos, não tenho dúvidas de que a exploração teria sido usada com sucesso rapidamente após o lançamento do blog."
Um problema de grande escala
A vulnerabilidade Mikrotik CVE-2023-30799 foi divulgada pela primeira vez sem um identificador em junho de 2022, e MikroTik corrigiu o problema em outubro de 2022 para RouterOS estável (v6.49.7) e em 19 de julho de 2023, para RouterOS Long-term (v6.49.8 ).
O VulnCheck relata que um patch para a ramificação de longo prazo foi disponibilizado somente depois que eles contataram o fornecedor e compartilharam novas explorações que visavam o hardware MikroTik.
Os pesquisadores usaram Shodan para determinar o impacto da falha e descobriram que 474.000 dispositivos estavam vulneráveis ao expor remotamente a página de gerenciamento baseada na web.
No entanto, como essa vulnerabilidade também pode ser explorada no Winbox, um cliente de gerenciamento Mikrotek, Baines descobriu que 926.000 dispositivos estavam expondo essa porta de gerenciamento, tornando o impacto muito maior.
Versões do RouterOS detectadas (VulnCheck)
A vulnerabilidade CVE-2023-30799
Embora a exploração dessa vulnerabilidade exija uma conta de administrador existente, ela eleva você a um nível de privilégio mais alto chamado "Super Admin".
Ao contrário da conta admin, que oferece privilégios elevados restritos, o Super Admin dá acesso total ao sistema operacional RouteOS.
“Ao escalar para superadministrador, o invasor pode alcançar um caminho de código que permite controlar o endereço de uma chamada de função”, disse Baines ao BleepingComputer.
"Super admin não é um privilégio concedido a administradores normais, é um privilégio que deveria ser concedido a certas partes do software subjacente (especificamente, neste caso, para carregar bibliotecas para a interface da web) e não a usuários reais.
Isso torna a vulnerabilidade valiosa para os agentes de ameaças que desejam fazer o "jailbreak" do dispositivo RouterOS para fazer alterações significativas no sistema operacional subjacente ou ocultar suas atividades da detecção.
Para desenvolver um exploit para CVE-2023-30799 que obtém um shell root em dispositivos MikroTik baseados em MIPS, os analistas da VulnCheck usaram o exploit FOISted remote RouterOS da Margin Research.
O novo exploit desenvolvido pela VulnCheck ignora o requisito de exposição da interface FTP e não é afetado pelo bloqueio ou filtragem de bindshells, pois usa a interface da Web do RouterOS para fazer upload de arquivos.
Por fim, o VulnCheck identificou uma cadeia ROP simplificada que manipula o ponteiro da pilha e o primeiro registrador de argumento e chama dlopen, cujas instruções estão presentes em três funções em diferentes versões do RouterOS, garantindo ampla aplicabilidade.
A exploração ainda requer autenticação como "admin", no entanto, VulnCheck explica que o RouterOS é fornecido com um usuário administrador totalmente funcional por padrão, que quase 60% dos dispositivos MikroTik ainda usam, apesar da orientação de proteção do fornecedor sugerindo sua exclusão.
Além disso, a senha de administrador padrão era uma string vazia até outubro de 2021, quando esse problema foi corrigido com o lançamento do RouterOS 6.49.
Por fim, o RouterOS não impõe requisitos de fortalecimento de senha de administrador, portanto, os usuários podem definir o que quiserem, o que os torna suscetíveis a ataques de força bruta, para os quais o MikroTik não oferece nenhuma proteção, exceto na interface SSH.
"Tudo isso é para dizer que o RouterOS sofre de uma variedade de problemas que tornam a adivinhação de credenciais administrativas mais fácil do que deveria", comenta VulnCheck
"Acreditamos que o CVE-2023-30799 é muito mais fácil de explorar do que o vetor CVSS indica."
Corrija seus dispositivos
Os dispositivos MikroTik foram alvo de malware muitas vezes e, inadvertidamente, ajudaram a criar enxames DDoS recordes, como o botnet Mēris.
Os usuários precisam agir rapidamente para corrigir a falha aplicando a atualização mais recente para o RouterOS, pois as tentativas de explorar a falha devem aumentar em breve.
O conselho de mitigação inclui a remoção de interfaces administrativas da Internet, restrição de endereços IP de login a uma lista de permissões definida, desativação do Winbox e uso apenas de SSH e configuração de SSH para usar chaves públicas/privadas em vez de senhas.
Postar um comentário