Egy kritikus súlyosságú „Super Admin” jogosultság emelési hiba veszélyezteti azt a 900 000 darab MikroTik RouterOS routert, amelyek a MikroTik RouterOS hosszú távú verziójának a 6.49.8 verziónál régebbi verzióját használja. Ez a hiba lehetővé teszi a támadók számára, hogy teljes ellenőrzést szerezzenek az említett eszközök felett, és észrevétlenek maradjanak. A távoli és hitelesített támadók kihasználhatják ezt a sebezhetőséget annak érdekében, hogy root-hozzáférést szerezzenek a routeren.

A CVE-2023-30799 először, CVE azonosító nélkül, 2022 júniusában került nyilvánosságra a Margin Research munkatársai, Ian Dupont és Harrison Green által a REcon konferencián. Ekkor tették közzé a FOISted nevű kihasználást, amely lehetővé teszi egy root shell megszerzését a RouterOS x86 virtuális gépen. A CVE-t csak múlt héten (2023. július 19.) kapta meg az azonosított problémára a VulnCheck kutatóktól, akik új kihasználásokat publikáltak, amelyek szélesebb körű támadást tesznek lehetővé a MikroTik hardverek ellen.

A MikroTik már egy ideje tudatában van a problémának. 2022 októberében javították meg a hibát a RouterOS stabil (6.49.7) verziójában. A kiadási megjegyzések nem jelzik, hogy biztonsági problémát kezeltek volna, de a következő utalás utal a javításra:

*) rendszer - felhasználói jogosultságok kezelésének javítása;

A RouterOS Long-term verzió kiadására csak akkor került sor amikor a VulnCheck lépett kapcsolatba a gyártóval, miután felfedezték a sebezhetőséget. 2023. július 18-án a VulnCheck megállapította, hogy a sérülékeny RouterOS Long-term 6.48.6 (akkoriban a legfrissebb Long-term verzió) a második leggyakrabban telepített RouterOS verzió volt a Shodan adatai alapján.

Összesen a Shodan körülbelül 500,000 és 900,000 RouterOS rendszert indexelt, amelyek sebezhetőek a CVE-2023-30799-es sérülékenységre a webes és a Winbox felületeiken keresztül. Érdemes lenne ezeket a rendszereket azonnal frissíteni.

(forrás)