دستگاه‌های میكروتیك در معرض خطر حفره افزایش سطح دسترسیSuper Admin

یک نقص بحرانی که موجب افزایش سطح دسترسی “Super Admin” می‌شود، بیش از 900هزار مسیریاب میکروتیک  را در معرض خطر قرار می‌دهد و به طور بالقوه مهاجمان را قادر می‌سازد تا کنترل کامل دستگاه را در دست بگیرند و شناسایی نشوند.

به گزارش مرکز مدیریت راهبردی افتا، این نقص که شناسه آن CVE-2023-30799 است، به مهاجمان راه دور با یک حساب مدیریت موجود اجازه می‌دهد تا از طریق رابط Winbox یا HTTP دستگاه، امتیازات خود را به “Super Admin” ارتقا دهند.

این موضوع به این دلیل است که سیستم‌عامل مسیریاب میکروتیک از حملات brute-force رمز عبور جلوگیری نمی‌کند و با یک کاربر پیش‌فرض معروف “admin” همراه است.
Jacob Baines، محقق VulnCheck، به BleepingComputer گفت: «اکسپلویت این آسیب‌پذیری در ابعاد گسترده دشوارتر خواهد بود چراکه اعتبارنامه‌های معتبر برای آن مورد نیاز است. با این حال، مسیریاب‌ها فاقد حفاظت اولیه در برابر حدس زدن رمز عبور هستند. ما عمداً اکسپلویت اثبات مفهوم (PoC) منتشر نکردیم، اما اگر داشتیم، شک ندارم که این اکسپلویت به سرعت پس از انتشار وبلاگ با موفقیت توسط عموم خرابکاران مورد استفاده قرار می‌گرفت.»
یک مشکل در مقیاس بزرگ
آسیب‌پذیری  CVE-2023-30799 برای اولین بار بدون شناسه در ژوئن 2022 فاش شد و میکروتیک این مشکل را در اکتبر 2022 برای سیستم‌عامل مسیریاب stable (نسخه 6.49.7) و در 19 ژوئیه 2023 برای سیستم‌عامل مسیریاب Long-term (نسخه 6.49.8) برطرف کرد.
VulnCheck گزارش می‌دهد که یک وصله برای نوع Long-term تنها پس از تماسش با شرکت میکروتیک و اشتراک‌گذاری اکسپلویت‌های جدید در دسترس قرار گرفت که سخت‌افزار میکروتیک را هدف قرار می‌داد.
محققان از Shodan برای تعیین تأثیر این نقص استفاده کردند و دریافتند که 474هزار دستگاه آسیب‌پذیر بودند زیرا صفحه مدیریت مبتنی بر وب آن‌ها از راه دور در دید قرار داشت.
با این حال، از آنجایی که این آسیب‌پذیری از طریق Winbox (یک client مدیریت میکروتیک) نیز قابل بهره‌برداری است، Baines دریافت که 926هزار دستگاه این پورت مدیریتی را در معرض قرار می‌دهند که این امر تأثیر آسیب‌پذیری گفته‌شده را بسیار بیشتر می‌کند.
آسیب‌پذیری CVE-2023-30799
در حالی که استفاده از این آسیب‌پذیری به یک حساب کاربری موجود نیاز دارد، اما مهاجم را به سطح امتیاز بالاتری موسوم به «Super Admin» ارتقا می‌دهد.
برخلاف اکانت ادمین که امتیازات محدودی را ارائه می‌دهد، Super Admin به سیستم‌عامل مسیریاب میکروتیک دسترسی کامل می‌دهد.
Baines به BleepingComputer گفت: «با تبدیل شدن به super admin، مهاجم می‌تواند به مسیر کدی برسد که به او اجازه می‌دهد آدرس یک فراخوانی تابع را کنترل کنند.»
Super admin امتیازی نیست که به مدیران عادی داده شود، بلکه امتیازی است که به بخش‌های خاصی از نرم‌افزار زیربنایی (به ویژه در این مورد، برای بارگیری کتابخانه‌ها برای رابط وب) داده می‌شود و نه به کاربران حقیقی.
همین موضوع، این آسیب‌پذیری را برای عوامل تهدید ارزشمند می‌سازد که می‌خواهند سیستم‌عامل مسیریاب را «jailbreak» کنند. چراکه آنان می‌توانند تغییرات قابل‌توجهی در سیستم‌عامل اصلی ایجاد کنند یا فعالیت‌های خود را از شناسایی‌شدن پنهان کنند. مفهوم jailbreak به معنی فرایند اکسپلویت کردن نقص‌های یک دستگاه با هدف نصب نرم‌افزاری بجز آنچه است که  سازنده بر روی آن نصب کرده است.
برای توسعه یک اکسپلویت برای CVE-2023-30799 که یک root shell در دستگاه های میکروتیک مبتنی بر MIPS به دست می آورد، تحلیلگران VulnCheck از یک اکسپلویت jailbreak  از راه دور با نام FOISted متعلق به  Margin Research استفاده کردند.
اکسپلویت جدید توسعه یافته توسط VulnCheck نیاز به قرار گرفتن در معرض رابط FTP را دور می‌زند و تحت تأثیر مسدود کردن یا فیلتر کردن bindshell ها قرار نمی‌گیرد، زیرا از رابط وب سیستم‌عامل مسیریاب برای آپلود فایل‌ها استفاده می‌کند.
در نهایت، VulnCheck یک زنجیره ROP ساده‌شده را شناسایی کرد که stack pointer و اولین آرگومان registery را دستکاری می‌کند و dlopen را فراخوانی می‌کند که دستورالعمل‌های آن در سه عملکرد در نسخه‌های مختلف سیستم‌عامل مسیریاب وجود دارد و کاربرد وسیع را تضمین می‌کند.
این اکسپلویت همچنان به احرازهویت به‌عنوان «admin» نیاز دارد، با این حال VulnCheck توضیح می‌دهد که سیستم‌عامل مسیریاب به‌طور پیش‌فرض با یک کاربر admin کاملاً کاربردی عرضه می‌شود، که تقریباً 60 درصد دستگاه‌های میکروتیک با وجود راهنمایی‌های امن‌سازی منتشرشده توسط شرکت تولیدکننده همچنان از آن استفاده می‌کنند که پیشنهاد حذف آن را می‌دهد.
علاوه بر این، رمز عبور پیش‌فرض admin تا اکتبر 2021 یک رشته خالی بود، زمانی که این مشکل با انتشار نسخه سیستم‌عامل مسیریاب 6.49 برطرف شد.
در نهایت، سیستم‌عامل مسیریاب الزامات تقویت رمز عبور ادمین را اعمال نمی‌کند، بنابراین کاربران ممکن است هر چیزی را که دوست دارند تنظیم کنند، که این موضوع آن‌ها را مستعد حملات brute-forcing می کند و میکروتیک هیچ حفاظتی برای آن به جز رابط SSH ارائه نمی دهد.
VulnCheck می‌گوید: «همه این‌ها به این معناست که سیستم‌عامل مسیریاب مشکلات مختلفی دارد که حدس زدن اعتبارهای مدیریتی (مانند رمزعبور و…) را از آنچه باید باشد آسان‌تر می‌کند. ما معتقدیم که CVE-2023-30799 بسیار ساده‌تر قابل بهره‌برداری از آنچه است که بردار CVSS نشان می‌دهد.»
دستگاه‌های میکروتیک بارها  هدف بدافزار قرار گرفته‌اند و به‌طور ناخواسته به ایجاد گروه‌های DDoS رکوردشکنی مانند  بات‌نت Mēris کمک کرده‌اند .
کاربران باید با اعمال آخرین به‌روزرسانی برای سیستم‌عامل مسیریاب، برای رفع نقص به سرعت حرکت کنند، زیرا تلاش‌ها برای سوء استفاده از این نقص به زودی افزایش می‌یابد.
توصیه‌ها برای کاهش شدت این آسیب‌پذیری شامل این موارد هستند: حذف رابط‌های مدیریتی از اینترنت، محدود کردن آدرس‌های IP با قابلیت Login به یک لیست مجاز تعریف‌شده، غیرفعال کردن Winbox و فقط استفاده از SSH و پیکربندی SSH برای استفاده از  کلیدهای عمومی/خصوصی  به‌جای رمز عبور.

در این خصوص، مقاله ای توسط شرکت آتی نگر نیز منتشر شده که در آن به راهکارها و تمهیدات امنیتی برای جلوگیری از نفوذ یا ورودهای غیر مجاز به مسیریاب، بصورت آیتم وار و کاربردی اشاره شده است.

لینک مقاله: https://atinegar.com/cve-2023-30799