<div dir="ltr"><div>Critical MikroTik RouterOS Vulnerability Exposes Over Half a Million<br>Devices to Hacking<br>Jul 26, 2023    THN<br><br>Network Security / Vulnerability<br><br>MikroTik RouterOS Vulnerability<br><br>A severe privilege escalation issue impacting MikroTik RouterOS could be<br>weaponized by remote malicious actors to execute arbitrary code and<br>seize full control of vulnerable devices.<br><br>Cataloged as CVE-2023-30799 (CVSS score: 9.1), the shortcoming is<br>expected to put approximately 500,000 and 900,000 RouterOS systems at<br>risk of exploitation via their web and/or Winbox interfaces,<br>respectively, VulnCheck disclosed in a Tuesday report.<br><br>"CVE-2023-30799 does require authentication," security researcher Jacob<br>Baines said. "In fact, the vulnerability itself is a simple privilege<br>escalation from admin to 'super-admin' which results in access to an<br>arbitrary function. Acquiring credentials to RouterOS systems is easier<br>than one might expect."<br><br>This is because the Mikrotik RouterOS operating system does not offer<br>any protection against password brute-force attacks and ships with a<br>well-known default "admin" user, with its password being an empty string<br>until October 2021, at which point administrators were prompted to<br>update the blank passwords with the release of RouterOS 6.49.<br><br>CVE-2023-30799 is said to have been originally disclosed by Margin<br>Research as an exploit dubbed FOISted without an accompanying CVE<br>identifier in June 2022. The security hole, however, was not plugged<br>until October 13, 2022, in the RouterOS stable version 6.49.7 and on<br>July 19, 2023, for the RouterOS Long-term version 6.49.8.<br><br>VulnCheck noted that a patch for the Long-term release tree was made<br>available only after it directly contacted the vendor and "published new<br>exploits that attacked a wider range of MikroTik hardware."<br><br>A proof-of-concept (PoC) devised by the company shows that it's possible<br>to derive a new MIPS architecture-based exploit chain from FOISted and<br>obtain a root shell on the router.<br><br>"Given RouterOS' long history of being an APT target, combined with the<br>fact that FOISted was released well over a year ago, we have to assume<br>we aren't the first group to figure this out," Baines noted.<br><br>"Unfortunately, detection is nearly impossible. The RouterOS web and<br>Winbox interfaces implement custom encryption schemes that neither Snort<br>or Suricata can decrypt and inspect. Once an attacker is established on<br>the device, they can easily make themselves invisible to the RouterOS UI."<br><br>With flaws in Mikrotik routers exploited to corral the devices into<br>distributed denial-of-service (DDoS) botnets such as Mēris and use them<br>as command-and-control proxies, it's recommended that users patch the<br>flaw by updating to the latest version (6.49.8 or 7.x) as soon as possible.<br><br>Mitigation advice includes removing MikroTik administrative interfaces<br>from the internet, limiting the IP addresses administrators can login<br>from, disabling the Winbox and the web interfaces, and configuring SSH<br>to use public/private keys and disable passwords.</div><div><br></div><div>link referencia:</div><div><a href="https://thehackernews.com/2023/07/critical-mikrotik-routeros.html">https://thehackernews.com/2023/07/critical-mikrotik-routeros.html</a></div><div><br></div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>===</div><div>Computer Security Incident Response Team - CSIRT</div><div>Universidade Estadual de Campinas - Unicamp</div><div>Centro de Computacao - CCUEC</div><div>GnuPG Public Key: <a href="http://www.security.unicamp.br/security.asc" target="_blank">http://www.security.unicamp.br/security.asc</a> [^]</div><div>Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830</div></div></div></div></div>