ตามรายงานของ BleepingComputer ช่องโหว่บนเราเตอร์ MikroTik ที่ได้รับมอบหมายรหัส CVE-2023-30799 ช่วยให้ผู้โจมตีจากระยะไกลที่มีบัญชีผู้ดูแลระบบอยู่แล้วสามารถยกระดับสิทธิ์ให้เป็น superadmin ผ่านทาง Winbox ของอุปกรณ์หรืออินเทอร์เฟซ HTTP
ก่อนหน้านี้ รายงานจากบริษัทรักษาความปลอดภัย VulnCheck อธิบายว่าแม้ว่าการใช้ประโยชน์จากช่องโหว่นี้จำเป็นต้องมีบัญชีผู้ดูแลระบบ แต่ปัจจัยที่ทำให้เกิดช่องโหว่นี้มาจากการที่รหัสผ่านเริ่มต้นไม่ได้ถูกเปลี่ยน นักวิจัยกล่าวว่าเราเตอร์ยังขาดการป้องกันขั้นพื้นฐานเพื่อป้องกันการเดารหัสผ่าน
VulnCheck ไม่ได้เปิดเผยหลักฐานการใช้ประโยชน์ เนื่องจากเกรงว่าจะกลายเป็นบทเรียนสำหรับแฮกเกอร์ผู้ไม่หวังดี นักวิจัยกล่าวว่าอุปกรณ์ MikroTik มากถึง 60% ยังคงใช้บัญชีผู้ดูแลระบบเริ่มต้น
MikroTik เป็นแบรนด์เราเตอร์ที่มีอยู่ในตลาดเวียดนาม
MikroTik เป็นแบรนด์สัญชาติลัตเวียที่เชี่ยวชาญด้านอุปกรณ์เครือข่าย ทำงานบนระบบปฏิบัติการ MikroTik RouterOS เมื่อใช้งาน ผู้ใช้สามารถเข้าถึงหน้าผู้ดูแลระบบได้ทั้งบนเว็บอินเทอร์เฟซหรือแอปพลิเคชัน Winbox เพื่อกำหนดค่าและจัดการเครือข่าย LAN หรือ WAN
โดยทั่วไปแล้ว ผู้ผลิตจะตั้งค่าบัญชีเข้าสู่ระบบเริ่มต้นเป็น "ผู้ดูแลระบบ" และรหัสผ่านเริ่มต้นสำหรับผลิตภัณฑ์ส่วนใหญ่ ความเสี่ยงนี้ทำให้อุปกรณ์เสี่ยงต่อการถูกโจมตี
ช่องโหว่ CVE-2023-30799 ถูกเปิดเผยครั้งแรกโดยไม่มีตัวระบุในเดือนมิถุนายน 2022 และ MikroTik ได้แก้ไขปัญหานี้ในเดือนตุลาคม 2022 ผ่านทาง RouterOS เวอร์ชันเสถียร v6.49.7 และในวันที่ 19 กรกฎาคม 2023 สำหรับ RouterOS ในระยะยาว (v6.49.8)
นักวิจัยพบอุปกรณ์ที่มีช่องโหว่ 474,000 เครื่อง เมื่ออุปกรณ์เหล่านั้นถูกเปิดเผยผ่านหน้าจัดการบนเว็บจากระยะไกล VulnCheck รายงานว่าเวอร์ชันระยะยาวได้รับการแก้ไขเมื่อทีมสามารถติดต่อผู้ผลิตและแชร์วิธีการโจมตีฮาร์ดแวร์ของ MikroTik ได้
เนื่องจากช่องโหว่ดังกล่าวสามารถถูกใช้ประโยชน์บนแอป Winbox ได้ด้วย นักวิจัยจึงระบุว่ามีอุปกรณ์ราว 926,000 เครื่องที่มีพอร์ตการจัดการเปิดเผย ซึ่งทำให้ผลกระทบในวงกว้างมากขึ้น
ผู้เชี่ยวชาญของ WhiteHat ระบุว่า สาเหตุหลักของช่องโหว่นี้มาจากสองปัจจัย ได้แก่ ผู้ใช้และผู้ผลิต ผู้ใช้ที่ซื้ออุปกรณ์มักเพิกเฉยต่อคำแนะนำด้านความปลอดภัยของผู้ผลิตและ "ลืม" เปลี่ยนรหัสผ่านเริ่มต้นของอุปกรณ์ แต่ถึงแม้จะเปลี่ยนรหัสผ่านแล้ว ผู้ผลิตก็ยังคงมีความเสี่ยงอื่นๆ อยู่ MikroTik ยังไม่ได้ติดตั้งโซลูชันความปลอดภัยใดๆ เพื่อป้องกันการคาดเดารหัสผ่าน (brute-force) บนระบบปฏิบัติการ MikroTik RouterOS ดังนั้น แฮกเกอร์จึงสามารถใช้เครื่องมือเพื่อคาดเดาชื่อและรหัสผ่านการเข้าถึงได้โดยไม่ถูกป้องกัน
VulnCheck สาธิตการใช้ประโยชน์จากจุดบกพร่องด้านความปลอดภัยบนเราเตอร์ MikroTik
นอกจากนี้ MikroTik ยังอนุญาตให้ตั้งรหัสผ่านผู้ดูแลระบบว่างเปล่า และปล่อยปัญหาไว้โดยไม่ได้รับการแก้ไขจนถึงเดือนตุลาคม 2021 จึงได้เปิดตัว RouterOS 6.49 เพื่อแก้ไขปัญหานี้
เพื่อลดความเสี่ยง ผู้เชี่ยวชาญของ WhiteHat แนะนำให้ผู้ใช้ทำการอัปเดตแพตช์ล่าสุดสำหรับ RouterOS ทันที และสามารถใช้โซลูชันเพิ่มเติม เช่น การตัดการเชื่อมต่ออินเทอร์เน็ตบนอินเทอร์เฟซการดูแลระบบเพื่อป้องกันการเข้าถึงระยะไกล และการตั้งรหัสผ่านที่แข็งแกร่งหากจำเป็นต้องเปิดเผยหน้าการดูแลระบบต่อสาธารณะ
ลิงค์ที่มา
การแสดงความคิดเห็น (0)