Lebih dari 900.000 perangkat MikroTik terkena dampak kerentanannya yang menyebabkan eksekusi kode sewenang-wenang, seperti yang dilaporkan oleh penyedia intelijen kerentanan, VulnCheck. Kerentanannya, yang dilacak dengan kode CVE-2023-30799 (dengan skor CVSS 9.1), dijelaskan sebagai bug eskalasi hak istimewa yang mempengaruhi versi RouterOS sebelum 6.49.7 dan versi jangka panjang RouterOS hingga 6.48.6.
“Seorang penyerang dari jarak jauh dan yang terotentikasi dapat meningkatkan hak dari admin menjadi super-admin pada antarmuka Winbox atau HTTP. Penyerang dapat mengeksploitasi kerentan ini untuk menjalankan kode sewenang-wenang pada sistem,” demikian disebutkan dalam sebuah informasi peringatan dari NIST.
Kerentanannya awalnya diungkapkan pada Juni 2022, dalam konferensi REcon, tetapi tidak ada penanda CVE yang ditetapkan untuknya. Pada saat itu juga, kode proof-of-concept (PoC) yang menunjukkan bagaimana sebuah root shell dapat diperoleh pada mesin virtual RouterOS x86 juga diterbitkan.
MikroTik kemudian memperbaiki bug tersebut dalam versi RouterOS stabil 6.49.7 pada bulan Oktober 2022, tanpa memberikan detail lebih lanjut. Pembaruan juga dirilis untuk versi jangka panjang RouterOS.
Menurut VulnCheck, pencarian menggunakan Shodan menunjukkan bahwa ada banyak perangkat yang berpotensi rentan. “Secara keseluruhan, Shodan mengindeks sekitar 500.000 dan 900.000 sistem RouterOS yang rentan terhadap CVE-2023-30799 melalui antarmuka web dan/atau Winbox mereka,” catatan VulnCheck.
Masalah ini, menurut perusahaan tersebut, harus dianggap serius karena cukup mudah untuk mendapatkan kredensial RouterOS dan mengeksploitasi kerentan ini untuk meningkatkan hak dari admin menjadi ‘super-admin’, yang memberikan akses penyerang ke fungsi panggilan sembarang.
Di satu sisi, para penyerang dapat menggunakan kredensial RouterOS default untuk mengompromi perangkat. Di sisi lain, mereka dapat menggunakan berbagai alat untuk melakukan serangan brute-force pada perangkat RouterOS, termasuk alat API, web, dan Winbox (Shodan menunjukkan sekitar 400.000 perangkat yang mengekspos API RouterOS).
baca Juga : Mikrotik RB941-2nD Mini Murah bisa di suplay Power bank
RouterOS dilengkapi
RouterOS dilengkapi dengan pengguna default ‘admin’ yang seringkali tidak dihapus dari perangkat dan yang dilindungi oleh string kosong. Penyerang dapat menargetkan bug ketidakselarasan respons yang terlihat dalam skema otentikasi Winbox untuk mengetahui keberadaan akun default tersebut.
VulnCheck memverifikasi 5.500 dari host yang diidentifikasi melalui Shodan dan menemukan bahwa 60% dari mereka mengandung akun pengguna admin default.
“Barulah pada RouterOS 6.49 (Oktober 2021) RouterOS mulai meminta para administrator untuk memperbarui kata sandi kosong. Bahkan ketika administrator telah menetapkan kata sandi baru, RouterOS tidak memberlakukan batasan apa pun. Para administrator bebas untuk menetapkan kata sandi apa pun yang mereka pilih, tidak peduli seberapa sederhananya,” demikian catatan VulnCheck.
Kerentanannya awalnya tidak terlalu terdeteksi karena eksploit awal hanya ditargetkan pada mesin virtual RouterOS x86. Namun, eksploit yang menargetkan perangkat keras RouterOS juga telah dirilis, sehingga para administrator diimbau untuk segera memperbarui perangkat mereka.
“Di bawah keadaan normal, kami akan mengatakan bahwa mendeteksi eksploitasi adalah langkah awal yang baik untuk melindungi sistem Anda. Sayangnya, mendeteksi hampir tidak mungkin dilakukan. Antarmuka web dan Winbox RouterOS menerapkan skema enkripsi khusus yang tidak dapat dipecahkan atau diperiksa oleh Snort atau Suricata. Setelah seorang penyerang berhasil masuk ke perangkat, mereka dengan mudah dapat membuat diri mereka tidak terlihat oleh antarmuka RouterOS,” catatan VulnCheck.
