یک نقص بحرانی که موجب افزایش سطح دسترسی “Super Admin” میشود، بیش از 900هزار مسیریاب میکروتیک را در معرض خطر قرار میدهد و به طور بالقوه مهاجمان را قادر میسازد تا کنترل کامل دستگاه را در دست بگیرند و شناسایی نشوند.
به گزارش مرکز مدیریت راهبردی افتا، این نقص که شناسه آن CVE-2023-30799 است، به مهاجمان راه دور با یک حساب مدیریت موجود اجازه میدهد تا از طریق رابط Winbox یا HTTP دستگاه، امتیازات خود را به “Super Admin” ارتقا دهند.
این موضوع به این دلیل است که سیستمعامل مسیریاب میکروتیک از حملات brute-force رمز عبور جلوگیری نمیکند و با یک کاربر پیشفرض معروف “admin” همراه است.
Jacob Baines، محقق VulnCheck، به BleepingComputer گفت: «اکسپلویت این آسیبپذیری در ابعاد گسترده دشوارتر خواهد بود چراکه اعتبارنامههای معتبر برای آن مورد نیاز است. با این حال، مسیریابها فاقد حفاظت اولیه در برابر حدس زدن رمز عبور هستند. ما عمداً اکسپلویت اثبات مفهوم (PoC) منتشر نکردیم، اما اگر داشتیم، شک ندارم که این اکسپلویت به سرعت پس از انتشار وبلاگ با موفقیت توسط عموم خرابکاران مورد استفاده قرار میگرفت.»
یک مشکل در مقیاس بزرگ
آسیبپذیری CVE-2023-30799 برای اولین بار بدون شناسه در ژوئن 2022 فاش شد و میکروتیک این مشکل را در اکتبر 2022 برای سیستمعامل مسیریاب stable (نسخه 6.49.7) و در 19 ژوئیه 2023 برای سیستمعامل مسیریاب Long-term (نسخه 6.49.8) برطرف کرد.
VulnCheck گزارش میدهد که یک وصله برای نوع Long-term تنها پس از تماسش با شرکت میکروتیک و اشتراکگذاری اکسپلویتهای جدید در دسترس قرار گرفت که سختافزار میکروتیک را هدف قرار میداد.
محققان از Shodan برای تعیین تأثیر این نقص استفاده کردند و دریافتند که 474هزار دستگاه آسیبپذیر بودند زیرا صفحه مدیریت مبتنی بر وب آنها از راه دور در دید قرار داشت.
با این حال، از آنجایی که این آسیبپذیری از طریق Winbox (یک client مدیریت میکروتیک) نیز قابل بهرهبرداری است، Baines دریافت که 926هزار دستگاه این پورت مدیریتی را در معرض قرار میدهند که این امر تأثیر آسیبپذیری گفتهشده را بسیار بیشتر میکند.
آسیبپذیری CVE-2023-30799
در حالی که استفاده از این آسیبپذیری به یک حساب کاربری موجود نیاز دارد، اما مهاجم را به سطح امتیاز بالاتری موسوم به «Super Admin» ارتقا میدهد.
برخلاف اکانت ادمین که امتیازات محدودی را ارائه میدهد، Super Admin به سیستمعامل مسیریاب میکروتیک دسترسی کامل میدهد.
Baines به BleepingComputer گفت: «با تبدیل شدن به super admin، مهاجم میتواند به مسیر کدی برسد که به او اجازه میدهد آدرس یک فراخوانی تابع را کنترل کنند.»
Super admin امتیازی نیست که به مدیران عادی داده شود، بلکه امتیازی است که به بخشهای خاصی از نرمافزار زیربنایی (به ویژه در این مورد، برای بارگیری کتابخانهها برای رابط وب) داده میشود و نه به کاربران حقیقی.
همین موضوع، این آسیبپذیری را برای عوامل تهدید ارزشمند میسازد که میخواهند سیستمعامل مسیریاب را «jailbreak» کنند. چراکه آنان میتوانند تغییرات قابلتوجهی در سیستمعامل اصلی ایجاد کنند یا فعالیتهای خود را از شناساییشدن پنهان کنند. مفهوم jailbreak به معنی فرایند اکسپلویت کردن نقصهای یک دستگاه با هدف نصب نرمافزاری بجز آنچه است که سازنده بر روی آن نصب کرده است.
برای توسعه یک اکسپلویت برای CVE-2023-30799 که یک root shell در دستگاه های میکروتیک مبتنی بر MIPS به دست می آورد، تحلیلگران VulnCheck از یک اکسپلویت jailbreak از راه دور با نام FOISted متعلق به Margin Research استفاده کردند.
اکسپلویت جدید توسعه یافته توسط VulnCheck نیاز به قرار گرفتن در معرض رابط FTP را دور میزند و تحت تأثیر مسدود کردن یا فیلتر کردن bindshell ها قرار نمیگیرد، زیرا از رابط وب سیستمعامل مسیریاب برای آپلود فایلها استفاده میکند.
در نهایت، VulnCheck یک زنجیره ROP سادهشده را شناسایی کرد که stack pointer و اولین آرگومان registery را دستکاری میکند و dlopen را فراخوانی میکند که دستورالعملهای آن در سه عملکرد در نسخههای مختلف سیستمعامل مسیریاب وجود دارد و کاربرد وسیع را تضمین میکند.
این اکسپلویت همچنان به احرازهویت بهعنوان «admin» نیاز دارد، با این حال VulnCheck توضیح میدهد که سیستمعامل مسیریاب بهطور پیشفرض با یک کاربر admin کاملاً کاربردی عرضه میشود، که تقریباً 60 درصد دستگاههای میکروتیک با وجود راهنماییهای امنسازی منتشرشده توسط شرکت تولیدکننده همچنان از آن استفاده میکنند که پیشنهاد حذف آن را میدهد.
علاوه بر این، رمز عبور پیشفرض admin تا اکتبر 2021 یک رشته خالی بود، زمانی که این مشکل با انتشار نسخه سیستمعامل مسیریاب 6.49 برطرف شد.
در نهایت، سیستمعامل مسیریاب الزامات تقویت رمز عبور ادمین را اعمال نمیکند، بنابراین کاربران ممکن است هر چیزی را که دوست دارند تنظیم کنند، که این موضوع آنها را مستعد حملات brute-forcing می کند و میکروتیک هیچ حفاظتی برای آن به جز رابط SSH ارائه نمی دهد.
VulnCheck میگوید: «همه اینها به این معناست که سیستمعامل مسیریاب مشکلات مختلفی دارد که حدس زدن اعتبارهای مدیریتی (مانند رمزعبور و…) را از آنچه باید باشد آسانتر میکند. ما معتقدیم که CVE-2023-30799 بسیار سادهتر قابل بهرهبرداری از آنچه است که بردار CVSS نشان میدهد.»
دستگاههای میکروتیک بارها هدف بدافزار قرار گرفتهاند و بهطور ناخواسته به ایجاد گروههای DDoS رکوردشکنی مانند باتنت Mēris کمک کردهاند .
کاربران باید با اعمال آخرین بهروزرسانی برای سیستمعامل مسیریاب، برای رفع نقص به سرعت حرکت کنند، زیرا تلاشها برای سوء استفاده از این نقص به زودی افزایش مییابد.
توصیهها برای کاهش شدت این آسیبپذیری شامل این موارد هستند: حذف رابطهای مدیریتی از اینترنت، محدود کردن آدرسهای IP با قابلیت Login به یک لیست مجاز تعریفشده، غیرفعال کردن Winbox و فقط استفاده از SSH و پیکربندی SSH برای استفاده از کلیدهای عمومی/خصوصی بهجای رمز عبور.
در این خصوص، مقاله ای توسط شرکت آتی نگر نیز منتشر شده که در آن به راهکارها و تمهیدات امنیتی برای جلوگیری از نفوذ یا ورودهای غیر مجاز به مسیریاب، بصورت آیتم وار و کاربردی اشاره شده است.
لینک مقاله: https://atinegar.com/cve-2023-30799