MikroTik-Router in Vietnam anfällig für Angriffe

Laut BleepingComputer ermöglicht die Sicherheitslücke in MikroTik-Routern mit der Kennung CVE-2023-30799 einem Remote-Angreifer mit einem vorhandenen Administratorkonto, über die Winbox- oder HTTP-Schnittstelle des Geräts seine Berechtigungen auf Superadmin zu erhöhen.

Zuvor hatte ein Bericht der Sicherheitsfirma VulnCheck erklärt, dass zwar ein Administratorkonto erforderlich sei, um die Sicherheitslücke auszunutzen, der Grund dafür aber darin liege, dass das Standardkennwort nicht geändert worden sei. Die Forscher erklärten, dass den Routern grundlegende Schutzmechanismen gegen das Erraten von Passwörtern fehlten.

VulnCheck hat keine Beweise für die Ausnutzung der Schwachstelle veröffentlicht, da man befürchtete, dass die Schwachstelle zu einem Lernprogramm für böswillige Hacker werden könnte. Forscher gaben an, dass bis zu 60 % der MikroTik-Geräte immer noch das Standard-Administratorkonto verwenden.

MikroTik ist eine lettische Marke, die sich auf Netzwerkgeräte spezialisiert hat und auf dem Betriebssystem MikroTik RouterOS läuft. Bei der Verwendung können Benutzer sowohl über die Weboberfläche als auch über die Winbox-Anwendung auf die Administrationsseite zugreifen, um LAN- oder WAN-Netzwerke zu konfigurieren und zu verwalten.

Normalerweise wird das anfängliche Anmeldekonto vom Hersteller als „admin“ und bei den meisten Produkten als Standardkennwort festgelegt. Dies birgt das Risiko, dass das Gerät anfällig für Angriffe wird.

Die Sicherheitslücke CVE-2023-30799 wurde erstmals im Juni 2022 ohne Kennung offengelegt und MikroTik hat das Problem im Oktober 2022 über RouterOS Stable v6.49.7 und am 19. Juli 2023 für RouterOS Long-Term (v6.49.8) behoben.

Forscher entdeckten 474.000 anfällige Geräte, als sie per Fernzugriff über eine webbasierte Verwaltungsseite erreichbar waren. Laut VulnCheck wurde die Langzeitversion erst gepatcht, als es dem Team gelang, den Hersteller zu kontaktieren und ihm mitzuteilen, wie man MikroTik-Hardware angreift.

Da die Sicherheitslücke auch in der Winbox-App ausgenutzt werden kann, gehen die Forscher davon aus, dass die Verwaltungsports von rund 926.000 Geräten offengelegt sind, was die Auswirkungen noch weitreichender macht.

Laut WhiteHat-Experten liegt die Hauptursache für die Sicherheitslücke bei zwei Faktoren: Nutzer und Hersteller. Nutzer, die Geräte kaufen, ignorieren häufig die Sicherheitsempfehlungen des Herstellers und „vergessen“, das Standardpasswort des Geräts zu ändern. Doch auch nach der Passwortänderung bleiben weitere Risiken durch den Hersteller bestehen. MikroTik hat das Betriebssystem MikroTik RouterOS nicht mit Sicherheitslösungen gegen Brute-Force-Angriffe (Passwort-Rate-Angriffe) ausgestattet. Hacker können daher mithilfe von Tools ungehindert Zugangsnamen und Passwörter erraten.

Darüber hinaus erlaubte MikroTik auch das Festlegen eines leeren Administratorkennworts und ließ dieses Problem bis Oktober 2021 unbehoben, als es RouterOS 6.49 zur Behebung des Problems veröffentlichte.

Um Risiken zu minimieren, empfehlen die Experten von WhiteHat den Benutzern, umgehend den neuesten Patch für RouterOS zu installieren. Darüber hinaus können sie zusätzliche Lösungen implementieren, beispielsweise die Internetverbindung auf der Administrationsoberfläche trennen, um Fernzugriff zu verhindern, und sichere Passwörter festlegen, wenn die Administrationsseite öffentlich zugänglich sein muss.