Credit Image: Pixabay
Kerentanan eskalasi hak istimewa “super Admin” yang sangat parah telah membuat ratusan ribu router MikroTik RoutersOS berisiko.
Lebih dari 900.000 MikroTik tersebut berpotensi memungkinkan peretas untuk mengambil kendali penuh atas perangkat dan tetap tidak terdeteksi.
Kerentanan CVE-2023-30799, memungkinkan penyerang jarak jauh dengan akun admin yang ada untuk meningkatkan hak istimewa mereka menjadi “super-admin” melalui antarmuka Winbox atau HTTP perangkat.
|
Baca juga: Merek Router Terkenal Dikuasai Botnet |
Serangan Brute Force
Dalam sebuah laporan siber dijelaskan bahwa meskipun CVE-2023-30799 memerlukan akun admin yang ada untuk dieksploitasi, ini bukanlah batas rendah untuk dihapus.
Ini karena sistem operasi Mikrotik RouterOS tidak mencegah serangan brute force kata sandi dan dilengkapi dengan pengguna “admin” default yang terkenal.
Eksploitasi ‘secara massal’ akan menjadi lebih sulit karena diperlukan kredensial yang valid. Namun, seperti yang saya uraikan di blog, router tidak memiliki perlindungan dasar terhadap tebakan kata sandi.
Masalah Besar
Kerentanan Mikrotik CVE-2023-30799 pertama kali diungkapkan tanpa pengenal pada Juni 2022, dan MikroTik memperbaiki masalah ini pada Oktober 2022 untuk RouterOS stable (v6.49.7) dan pada 19 Juli 2023, untuk RouterOS Jangka Panjang (v6.49.8).
VulnCheck melaporkan bahwa tambalan untuk cabang Jangka Panjang tersedia hanya setelah mereka menghubungi vendor dan berbagi eksploit baru yang menargetkan perangkat keras MikroTik.
Para peneliti menggunakan Shodan untuk menentukan dampak cacat dan menemukan bahwa 474.000 perangkat rentan karena mereka membuka halaman manajemen berbasis web dari jarak jauh.
Namun, karena kerentanan ini juga dapat dieksploitasi melalui Winbox, klien manajemen Mikrotek, Baines menemukan bahwa 926.000 perangkat membuka port manajemen ini, membuat dampaknya jauh lebih besar.
|
Baca juga: Proteksi Konfigurasi Router Rumah |
Kerentanan CVE-2023-30799
Meskipun mengeksploitasi kerentanan ini memerlukan akun admin yang ada, ini mengangkat Anda ke tingkat hak istimewa yang lebih tinggi yang disebut “Admin Super”.
Berbeda dengan akun admin, yang menawarkan hak tinggi terbatas, Admin Super memberikan akses penuh ke sistem operasi RouteOS.
Dengan melakukan eskalasi ke admin super, penyerang dapat mencapai jalur kode yang memungkinkan mereka mengontrol alamat panggilan.
Super admin bukanlah hak istimewa yang diberikan kepada administrator normal, ini adalah hak istimewa yang seharusnya diberikan ke bagian tertentu.
Yakni perangkat lunak yang mendasarinya (khususnya, dalam hal ini, untuk memuat perpustakaan untuk antarmuka web), dan bukan untuk pengguna sebenarnya.
Hal ini membuat kerentanan berharga bagi pelaku ancaman yang ingin melakukan “jailbreak” pada perangkat RouterOS, dengan tujuan untuk:
- Membuat perubahan signifikan pada sistem operasi yang mendasarinya
- Menyembunyikan aktivitas mereka dari deteksi.
Eksploitasi masih memerlukan otentikasi sebagai “admin”, namun, RouterOS dikirimkan dengan pengguna admin yang berfungsi penuh secara default.
Yang hampir 60% perangkat MikroTik masih digunakan meskipun panduan pengerasan vendor menyarankan penghapusannya.
Selain itu, kata sandi admin default adalah string kosong hingga Oktober 2021, saat masalah ini diperbaiki dengan rilis RouterOS 6.49.
Terakhir, RouterOS tidak memaksakan persyaratan penguatan kata sandi admin, sehingga pengguna dapat mengatur apa pun yang mereka suka.
Yang membuat mereka rentan terhadap serangan brute-forcing, yang mana MikroTik tidak menawarkan perlindungan apa pun kecuali pada antarmuka SSH.
Semua ini untuk mengatakan, RouterOS mengalami berbagai masalah yang membuat menebak kredensial administratif lebih mudah dari yang seharusnya.
Sehingga dapat diyakini CVE-2023-30799 jauh lebih mudah dieksploitasi daripada yang ditunjukkan oleh vektor CVSS.
|
Baca juga: Router Dua Produsen Kondang Bocor dan Rentan Diserang |
Tambal perangkat Anda
Perangkat MikroTik telah berkali-kali menjadi sasaran malware dan secara tidak sengaja membantu membangun kawanan DDoS yang memecahkan rekor seperti botnet Mēris.
Pengguna harus bergerak cepat untuk menambal kelemahan tersebut dengan menerapkan pembaruan terbaru untuk RouterOS, karena upaya untuk mengeksploitasi kelemahan tersebut akan segera meningkat.
Saran mitigasi termasuk menghapus antarmuka administratif dari internet, membatasi alamat IP masuk ke daftar yang diizinkan, menonaktifkan Winbox dan hanya menggunakan SSH, dan mengonfigurasi SSH untuk menggunakan kunci publik/pribadi alih-alih kata sandi.
Demikian informasi mengenai ratusan ribu router MikroTik RoutersOS berisiko, semoga dapat bermanfaat dan menambah wawasan seputar keamanan siber
|
Baca lainnya: |
Sumber berita:
