Censys: 450.000 MikroTik-routers missen beveiligingsupdate voor rechtenlek

[Captain Kirk]

Zo'n 450.000 MikroTik-routers missen een beveiligingsupdate voor een kwetsbaarheid waardoor een aanvaller super-admin op het apparaat kan worden, zo stelt securitybedrijf Censys. MikroTik kwam vorig jaar oktober en afgelopen juni met updates, maar die zijn op een groot aantal routers nog niet geïnstalleerd. Ook niet nadat er eind juli over het beveiligingslek werd bericht. In de week na de berichtgeving bleef het aantal kwetsbare routers nagenoeg gelijk, aldus cijfers die Censys gisteren openbaar maakte.

Via het beveiligingslek, aangeduid als CVE-2023-30799, kan een aanvaller met admin-toegang tot de router super-admin worden. De vereiste dat een aanvaller als admin moet kunnen inloggen maakt de kwetsbaarheid niet minder gevaarlijk, aldus onderzoeker Jacob Baines. RouterOS, het besturingssysteem dat op MikroTik-routers draait, wordt standaard geleverd met een "admin" gebruiker.

Het standaard wachtwoord voor deze gebruiker is een lege string en pas vanaf RouterOS 6.49 die in oktober 2021 verscheen wordt beheerders gevraagd om het lege wachtwoord te vervangen door een nieuw wachtwoord. RouterOS maakt geen gebruik van wachtwoordregels, waardoor beheerders elk wachtwoord kunnen kiezen, hoe eenvoudig ook. Op 27 juli kwam MikroTik nog met een blogposting waarin het beheerders opriep om updates te installeren.

Censys voegt toe dat daarnaast een sterk wachtwoord moet worden ingesteld en de beheerdersinterface niet direct vanaf het internet toegankelijk moet zijn. "Ervoor zorgen dat de beheerdersinterface van apparaten niet onnodig is blootgesteld aan het publieke internet zal het aanvalsoppervlak van je organisatie aanzienlijk verkleinen en tegen eventuele exploits bescherming bieden."

 

bron: https://www.security.nl