Ulus devlet grupları dahil olmak üzere tehdit aktörleri için popüler bir hedef olan 900.00’e kadar MikroTik yönlendirici, RouterOS işletim sistemindeki bir ayrıcalık yükseltme güvenlik açığı aracılığıyla saldırıya açık olabilir.
Güvenlik açığı (CVE-2023-30788), kusur için birkaç yeni istismar yayınlayan VulnCheck araştırmacılarına göre, saldırganlara etkilenen MIPS işlemci tabanlı MikroTik cihazlarının tam kontrolünü ele geçirme ve bir kuruluşun ağına dönme yolu veriyor. Saldırganlar, yönlendirici üzerinden akan ağ trafiğine ortadaki adam saldırılarını etkinleştirmek için de kullanabilirler, diye uyardılar. MikroTik RouterOS’un 6.49.7’den önce kararlı ve 6.48.6’ya kadar uzun vadeli sürümleri bu soruna açıktır.
VulnCheck’in lider araştırmacısı Jacob Baines, “En kötü senaryo, bir saldırganın temeldeki Linux işletim sistemine rasgele araçlar yükleyip çalıştırabilmesidir” diyor. “Uzaktan ve kimliği doğrulanmış saldırganlar, yönetici düzeyindeki ayrıcalıkları bir süper yöneticininkine yükselterek, güvenlik açığını yönlendiricide bir kök kabuk elde etmek için kullanabilir.”
MikroTik, etkilenen RouterOS sürümleri için bir düzeltme yayınladı ve yöneticilerin bunu hızlı bir şekilde uygulaması gerekiyor. Riskler yüksek: MikroTik, müşterileri arasında NASA, ABB, Ericsson, Saab, Siemens ve Sprint gibi çok sayıda tanınmış kuruluş olduğunu iddia ediyor. Birkaç ISP, yönlendiricilerini de kullanır. Bir Shodan araştırması, 18 Temmuz itibariyle, Web veya Winbox arayüzleri aracılığıyla CVE-2023-30799’a karşı savunmasız olan 500.000 ila 900.000 MikroTik yönlendirici olduğunu gösterdi.
Baines, “MikroTik cihazları, korumalı ağlara güçlü erişim sağladıkları için bir süredir gelişmiş saldırganlar tarafından hedefleniyor” diyor. TrickBot, VPNFilter ve Slingshot gelişmiş kalıcı tehdit grubu gibi grupların hepsinin cihazı hedef aldığı bilinmektedir; 2022’de Microsoft, komuta ve kontrol (C2) sunucuları için proxy sunucuları olarak MikroTik yönlendiricilerini kullanan TrickBot aktörlerine karşı uyardı. Ayrıca, sınıflandırılmış CIA belgelerinin Vault 7 Wikileaks veri dökümünün MikroTik yönlendiricileri için bir istismar içerdiğini söylüyor.
İade Odaklı Programlama Zinciri
VulnCheck’in geliştirdiği saldırı, geri dönüş odaklı programlama (ROP) kullanan açıklardan yararlanmayı gerektirir. ROP, bir saldırganın sistemdeki mevcut küçük kod parçalarını birbirine zincirleyerek kötü amaçlı kod yürüttüğü bir yararlanma tekniğidir. Baines, VulnCheck’in temel olarak MIPS big endian (MIPSBE) mimarisinde RouterOS’a karşı çalışan yeni bir ROP zinciri geliştirdiğini söylüyor.
Yalnızca etkilenen bir MikroTik cihazına kimliği doğrulanmış erişimi olan bir saldırgan bu güvenlik açığından yararlanabilir. Ancak VulnCheck raporunda, RouterOS için kimlik bilgileri edinmenin nispeten kolay olduğunu söyledi.
Birincisi, RouterOS, varsayılan parola olarak boş bir dizeye sahip bir “admin” kullanıcı hesabıyla birlikte gelir. Birçok kuruluş, MikroTik’in kendisi kuruluşların yönetici hesabını silmesini önermesine rağmen yönetici hesabını silmeyi başaramaz.
RouterOS ayrıca parolalar üzerinde herhangi bir kısıtlama uygulamaz. VulnCheck, bu nedenle, yöneticilerin parola belirlediklerinde genellikle tahmin edilmesinin kolay olduğunu ve kaba kuvvet saldırılarına karşı çok az koruma sağladığını söyledi.
MikroTik ise destek e-postası aracılığıyla gönderilen bir Karanlık Okuma yorum talebine hemen yanıt vermedi.
MikroTik’e Yeni Bir Atak YAPMAK
MikroTik en azından geçen Ekim ayından beri bu son sorunun farkında olsa da, RouterOS Long-term için bir CVE tanımlayıcısı ve yaması 20 Temmuz’a kadar yayınlanmadı, çünkü muhtemelen hata şimdiye kadar herhangi bir gerçek dünya riski oluşturmadı.
Güvenlik firması Margin Research’teki araştırmacılar ilk olarak Haziran 2022’de güvenlik açığını ve “FOISTed” olarak adlandırılan bir istismarı ortaya çıkardılar. FOISTed, RouterOS çalıştıran bir x86 sanal makinesinde kök kabuk erişimini etkinleştirdi, ancak Baines, MikroTik’in x86 donanım tabanlı cihazlar göndermediği için bunun tartışmalı bir uygulama olduğunu söylüyor.
Bununla birlikte, Letonya merkezli MikroTik, geçen Ekim ayında işletim sisteminin artımlı bir sürümünde (Router OS kararlı 6.49.7) sorunu ele aldı, ancak RouterOS’un ana sürümleri veya MikroTik’in “uzun vadeli” sürümler olarak adlandırdığı sürümler için herhangi bir yama sunmadı.
VulnCheck’in exploit’i ise MikroTik’in birçok ürününde kullandığı MIPSBE mimarisi üzerinde RouterOS’a karşı çalışıyor. Bu nedenle, istismarların çok daha büyük bir etkisi var, diyor Baines: “FOISted’in gerçek dünya ürünleri üzerinde hiçbir etkisi olmadı, VulnCheck’in bulguları ise çok daha fazla.”
Güvenlik satıcısı, istismarını Margin’s FOISted’in basitleştirilmiş ve daha pratik bir versiyonu olarak tanımlıyor. Baines, “VulnCheck’in araştırması, istismarı silah haline getirmek için bazı şeyler de yaptı – örneğin, FTP kullanımını ortadan kaldırmak ve bir bağlama kabuğu yerine ters bir kabuk kullanmak,” diyor.
VulnCheck, kendilerini korumak için MikroTik cihazlarının etkilenen sürümlerini kullanan tüm kuruluşların Winbox ve Web arayüzlerini devre dışı bırakmalarını, yöneticilerin oturum açabilecekleri IP adreslerini kısıtlamalarını ve parolaları devre dışı bırakmalarını ve bunun yerine genel/özel anahtarları kullanacak şekilde SSH’yi yapılandırmalarını önerir.
Baines, “Nihayetinde, tavsiyemiz şifresiz bir çözüme geçmektir” diyor. Parola kullanması gereken kuruluşlar, kaba zorlamayı önlemek için ideal olarak daha güçlü parolalara geçer.”