Los enrutadores MikroTik en Vietnam son vulnerables a ataques

Según BleepingComputer , la vulnerabilidad en los enrutadores MikroTik asignada al identificador CVE-2023-30799 permite a un atacante remoto con una cuenta de administrador existente elevar los privilegios a superadmin a través de la interfaz Winbox o HTTP del dispositivo.

Anteriormente, un informe de la empresa de seguridad VulnCheck explicó que, si bien explotar la vulnerabilidad requiere una cuenta de administrador, la clave para explotarla proviene de que la contraseña predeterminada no se ha cambiado. Los investigadores afirmaron que los enrutadores carecen de protección básica contra la adivinación de contraseñas.

VulnCheck no publicó pruebas de explotación por temor a que se convirtiera en un tutorial para hackers maliciosos. Los investigadores afirmaron que hasta el 60 % de los dispositivos MikroTik aún utilizan la cuenta de administrador predeterminada.

MikroTik es una marca letona especializada en dispositivos de red, con el sistema operativo MikroTik RouterOS. Al usarlo, los usuarios pueden acceder a la página de administración, tanto desde la interfaz web como desde la aplicación Winbox, para configurar y administrar redes LAN o WAN.

Normalmente, el fabricante establece la cuenta de inicio de sesión inicial como "admin" y una contraseña predeterminada para la mayoría de los productos. Esto supone un riesgo que deja el dispositivo vulnerable a ataques.

La vulnerabilidad CVE-2023-30799 se reveló por primera vez sin un identificador en junio de 2022 y MikroTik solucionó el problema en octubre de 2022 a través de RouterOS estable v6.49.7 y el 19 de julio de 2023 para RouterOS a largo plazo (v6.49.8).

Los investigadores detectaron 474.000 dispositivos vulnerables al ser expuestos remotamente a una página de administración web. VulnCheck informa que la versión a largo plazo solo se parchó cuando el equipo logró contactar al fabricante y compartir cómo atacar el hardware de MikroTik.

Dado que la vulnerabilidad también puede explotarse en la aplicación Winbox, los investigadores dicen que alrededor de 926.000 dispositivos tienen sus puertos de administración expuestos, lo que hace que el impacto sea mucho más amplio.

Según los expertos de WhiteHat, la principal causa de la vulnerabilidad proviene de dos factores: los usuarios y los fabricantes. Los usuarios que compran dispositivos a menudo ignoran las recomendaciones de seguridad del fabricante y olvidan cambiar la contraseña predeterminada. Pero incluso después de cambiar la contraseña, existen otros riesgos del fabricante. MikroTik no ha implementado ninguna solución de seguridad contra ataques de adivinación de contraseñas (fuerza bruta) en el sistema operativo MikroTik RouterOS. Por lo tanto, los hackers pueden usar herramientas para adivinar nombres de acceso y contraseñas sin ningún tipo de protección.

Además, MikroTik también permitió establecer una contraseña de administrador vacía y dejó este problema sin resolver hasta octubre de 2021, cuando lanzó RouterOS 6.49 para solucionarlo.

Para minimizar los riesgos, los expertos de WhiteHat recomiendan que los usuarios actualicen inmediatamente el último parche para RouterOS, y también pueden implementar soluciones adicionales como desconectar Internet en la interfaz de administración para evitar el acceso remoto y establecer contraseñas seguras si la página de administración debe hacerse pública.