Lỗ hổng nghiêm trọng vừa được tiết lộ gần đây cho thấy đã có hơn 900.000 bộ định tuyến của thương hiệu MikroTik bị ảnh hưởng, mà các sản phẩm của hãng này đang được bán tại Việt Nam.
Theo thông tin từ BleepingComputer, lỗ hổng trên bộ định tuyến MikroTik được xác định với mã CVE-2023-30799 cho phép tin tặc từ xa tăng cấp đặc quyền từ tài khoản quản trị viên hiện tại lên thành quản trị viên cấp cao (superadmin) thông qua các giao diện Winbox hoặc HTTP của thiết bị.
Trước đó, báo cáo từ hãng bảo mật VulnCheck đã giải thích rằng để khai thác lỗ hổng cần phải có tài khoản quản trị viên, nhưng đầu vào để tiến hành khai thác lỗ hổng lại đến từ việc mật khẩu mặc định chưa được thay đổi. Các nhà nghiên cứu đã chỉ ra rằng các thiết bị định tuyến thiếu biện pháp bảo vệ cơ bản chống lại việc đoán mật khẩu.
VulnCheck không tiết lộ cách khai thác lỗ hổng vì lo ngại việc làm này có thể trở thành hướng dẫn cho những kẻ tấn công. Theo các nhà nghiên cứu, khoảng 60% thiết bị MikroTik vẫn sử dụng tài khoản admin mặc định.
MikroTik là một thương hiệu chuyên về các thiết bị mạng, có nguồn gốc từ Latvia và chạy trên hệ điều hành MikroTik RouterOS. Người dùng có thể truy cập trang quản trị thông qua giao diện web hoặc ứng dụng Winbox để cấu hình và quản lý mạng LAN hoặc WAN.
Thường thì, tài khoản truy cập ban đầu được thiết lập là "admin" và sử dụng mật khẩu mặc định cho hầu hết các sản phẩm. Điều này tạo ra nguy cơ cho thiết bị dễ bị tấn công.
Lỗ hổng CVE-2023-30799 đã được công bố lần đầu vào tháng 6 năm 2022 mà không có số nhận dạng, và MikroTik đã khắc phục vấn đề này vào tháng 10 năm 2022 thông qua bản cập nhật RouterOS stable v6.49.7. Cho đến ngày 19.7.2023, RouterOS long-term (v6.49.8) cũng đã được cập nhật để khắc phục lỗ hổng này.
Trong nghiên cứu mới, đã phát hiện 474.000 thiết bị dễ bị tấn công khi tiếp xúc từ xa với trang quản lý trên nền tảng web. Báo cáo của VulnCheck chỉ đề xuất vá bản Long-term sau khi cố gắng liên lạc với nhà sản xuất và chia sẻ cách thức tấn công vào phần cứng của MikroTik.
Lỗ hổng này cũng có thể bị tận dụng trên ứng dụng Winbox, với khoảng 926.000 thiết bị bị ảnh hưởng bởi việc để lộ cổng quản lý, tăng cường tầm ảnh hưởng đáng kể - nhà nghiên cứu cho biết.
Theo đánh giá từ các chuyên gia WhiteHat, nguyên nhân chính gây ra lỗ hổng xuất phát từ hai yếu tố chính: người dùng và nhà sản xuất. Người dùng thường không chú ý đến các khuyến cáo về an toàn từ nhà sản xuất và thường “quên” thay đổi mật khẩu mặc định của thiết bị khi mua.
Tuy đã thay đổi mật khẩu, nhưng vẫn có nguy cơ từ nhà sản xuất khi MikroTik không cung cấp giải pháp an ninh chống lại tấn công đoán mật khẩu trên RouterOS, dẫn đến việc hacker có thể thực hiện tấn công mà không gặp khó khăn.
Ngoài ra, MikroTik đã cho phép sử dụng mật khẩu admin trống và không giải quyết vấn đề này cho đến khi phiên bản RouterOS 6.49 được phát hành vào tháng 10 năm 2021.
Để giảm thiểu nguy cơ rủi ro, chuyên gia WhiteHat khuyến nghị người dùng nhanh chóng cập nhật bản vá mới nhất cho RouterOS. Đồng thời, họ cũng có thể thực hiện các biện pháp bảo mật khác như tạm ngừng kết nối internet trên các giao diện quản trị để ngăn chặn truy cập từ xa, cài đặt mật khẩu mạnh nếu phải công khai trang quản trị.