Alerta de seguridad
Nivel de peligrosidad: Crítico
Descripción
La vulnerabilidad identificada como CVE-2023-30799 (puntuación CVSS: 9,1), permite a los atacantes remotos con una cuenta de administrador existente, elevar sus privilegios a "superadministrador" a través de la interfaz Winbox o HTTP del dispositivo. A diferencia de la cuenta de administrador, que ofrece privilegios elevados restringidos, Super-Admin brinda acceso completo al sistema operativo RouteOS.
Esto hace que la vulnerabilidad sea valiosa para los actores de amenazas que desean "liberar" el dispositivo RouterOS para realizar cambios significativos en el sistema operativo subyacente u ocultar sus actividades para que no sean detectadas. Los investigadores advierten que la detección es casi imposible porque las interfaces web de RouterOS y Winbox implementan esquemas de cifrado personalizados que herramientas como Snort o Suricata no pueden descifrar e inspeccionar. Una vez que un atacante ha tomado control del dispositivo, este no puede ser visible para la interfaz de usuario de RouterOS.
Los investigadores aconsejan monitorear intentos de acceso por fuerza bruta o la carga de binarios ELF maliciosos en el dispositivo como medio para identificar cualquier ataque en curso.
Recursos afectados
-
MikroTik Router OS anteriores a la versión 6.49.8.
Solución
Actualizar a la versión:
Recomendaciones
Se ha hecho público la prueba de concepto de elevación de privilegios, por tanto es prioridad actualizar los dispositivos MikroTik vulnerables y tomar las siguientes acciones:
-
Restringir las direcciones IP de inicio de sesión a una lista de autorización definida.
-
Deshabilitar Winbox y utilizar conexión mediante SSH.
-
Configurar la conexión SSH mediante el uso de llaves públicas/privadas en lugar de contraseñas.
Referencias
Nueva vulnerabilidad crítica descubierta en MikroTik RouterOS