[Brisant] Mikrotik: Kritische Sicherheitslücke gefährdet über 900.000 Router

ziesell · 27.07.23, 11:39

Zitat:

Mikrotik: Kritische Sicherheitslücke gefährdet über 900.000 Router

Eine Schwachstelle in der Betriebssoftware von Mikrotik-Routern erlaubt Angreifern die vollständige Kontrolle anfälliger Geräte.

Sicherheitsforscher von Vulncheck haben eine Schwachstelle im RouterOS-Betriebssystem entdeckt, mit dem weltweit Hunderttausende von Routern des lettischen Herstellers Mikrotik ausgestattet sind. Darüber soll es Angreifern einem Bericht von Bleeping Computer zufolge möglich sein, die vollständige Kontrolle über die anfälligen Geräte zu übernehmen und dabei unentdeckt zu bleiben.

Zwar sei für die Ausnutzung der mit einem CVSS von 9,1 als kritisch eingestuften Sicherheitslücke CVE-2023-30799 zunächst der Zugriff auf ein bestehendes Administratorkonto erforderlich, jedoch sei es nicht sonderlich schwer, diese Hürde zu meistern. Schließlich liefere Mikrotik seine Router mit einem bekannten Standardbenutzer namens "admin" aus, der auch auf fast 60 Prozent aller Geräte weiterhin genutzt werde.

Ferner gebe es auf den Netzwerkgeräten ab Werk keinerlei Schutz vor Brute-Force-Angriffen, so dass Angreifer beliebig viele Passwörter per Software automatisiert durchtesten lassen können.

Darüber hinaus sei das Standard-Admin-Passwort bis Oktober 2021 eine leere Zeichenkette gewesen. Geändert habe der Hersteller dies erst mit der Veröffentlichung von RouterOS 6.49. Komplexitätsanforderungen für die Vergabe neuer Passwörter gebe es noch immer nicht, so dass Benutzer hier beliebig einfache Zeichenfolgen wählen können. "Wir glauben, dass CVE-2023-30799 viel leichter auszunutzen ist, als der CVSS-Vektor vermuten lässt", so die Forscher in ihrem Bericht.

Super-Admin verleiht Angreifern weitreichende Rechte

Mit dem Admin-Zugang soll es Angreifern dann möglich sein, ihre Zugriffsrechte über die Winbox- oder HTTP-Schnittstelle der Geräte auf eine Berechtigungsstufe namens Super-Admin zu erweitern und daraufhin wesentliche Änderungen am zugrunde liegenden Betriebssystem vorzunehmen. Der Super-Admin gehe über die Rechte eines regulären Administratorkontos hinaus und sei eigentlich nur für bestimmte Funktionen innerhalb der Betriebssoftware vorgesehen.

Der Vulncheck-Sicherheitsforscher Jacob Baines erklärte gegenüber Bleeping Computer, sein Team habe "absichtlich keinen Proof-of-Concept-Exploit veröffentlicht", da dieser sehr wahrscheinlich kurz darauf "erfolgreich in der freien Wildbahn eingesetzt worden wäre". Weltweit sollen etwa 474.000 Mikrotik-Router über die webbasierte Administrationsoberfläche über das Internet infiltrierbar sein. Rund 926.000 Geräte seien darüber hinaus über einen Management-Port angreifbar, auf den üblicherweise die von Mikrotik bereitgestellte Verwaltungsanwendung Winbox zurückgreift.

Patches sind verfügbar

Besitzern eines Mikrotik-Routers wird empfohlen, die Firmware des Gerätes zeitnah auf den neusten Stand zu bringen. Wer die Stable-Releases der Software verwendet, ist ab der seit Oktober 2022 erhältlichen Version 6.49.7 geschützt. Für Nutzer der Long-Term-Releases hat Mikrotik den Patch allerdings erst am 20. Juli 2023 mit Version 6.49.8 bereitgestellt. Darüber hinaus sind die Einschränkung der Erreichbarkeit administrativer Schnittstellen über das Internet sowie die Vergabe eines sicheren Passworts ebenfalls sinnvolle Maßnahmen, um Router vor einem Angriff zu schützen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]