Stimmten die Voraussetzungen, können sich Angreifer in Routern von Mikrotik zum Super-Admin hochstufen.
Das Router-Betriebssystem RouterOS von Mikrotik ist über eine Sicherheitslücke attackierbar. Sind Attacken erfolgreich, können Angreifer die volle Kontrolle über Geräte erlangen. Sicherheitsupdates sind verfügbar.
Wie aus einem Beitrag hervorgeht, sind Sicherheitsforscher von VulnCheck auf die Schwachstelle (CVE-2023-30799) gestoßen. Eine offizielle Einstufung des Bedrohungsgrads steht derzeit noch aus, die Forscher stufen sie als “kritisch” ein. Ihnen zufolge sind über eine Million Geräte verwundbar.
Gute Voraussetzungen für Angreifer
Damit Angreifer eine Attacke einleiten können, benötigen sie bereits Admin-Rechte. Das ist in der Regel eine große Hürde. Doch in diesem Fall könnten Attacken vergleichsweise einfacher ablaufen.
Wie die Sicherheitsforscher berichten, sind viele Router bis zu einer bestimmten Firmware (6.49 Oktober 2011) standardmäßig über einem Admin-Account ohne Passwort erreichbar. Die Forscher geben an, dass rund 60 Prozent der von ihnen gescannten Mikrotik-Router über so einen Admin-Account verfügen. Aufgrund von Schwächen im Authentifizierungs-Interface konnten sie eine Brute-Force-Attacke ansetzen, um sich Zugang zu verschaffen.
Ist die erste Hürde genommen, können Angreifer eine Shell mit Root-Rechten starten und sich so weitreichend auf Geräten breitmachen.
Sicherheitsupdate
Die Sicherheitsforscher geben an, dass Mikrotik zwar schon im Oktober 2022 einen Sicherheitspatch veröffentlicht hat, der war aber nur für die Stable-Version. Erst auf Nachhaken der Forscher habe der Hersteller im Juli dieses Jahres das Update für die Long-term-Ausgaben veröffentlicht.
Besitzer von Mikrotik-Routern sollten sicherstellen, dass mindestens die abgesicherte Version 6.49.8 (Stable) installiert ist. Außerdem sollte man den Admin-Zugang über das Internet sperren oder mindestens den Zugriff auf bestimme IP-Adressen einschränken und den Zugang ausschließlich via SSH erlauben.