Devenez super-admin sur MikroTik RouterOS avec cette faille qui affecte 900 000 routeurs !
Une vulnérabilité présente dans le système MikroTik RouterOS permet de devenir "super admin" sur le routeur ! Mais rassurez-vous, pour faire cette élévation de privilèges, il faut déjà être admin de l'appareil ! Faisons le point.
Associée à la référence CVE-2023-30799, cette faille de sécurité permet à un attaquant d'obtenir le niveau de privilège le plus élevé sur un routeur équipé du système MikroTik RouterOS, grâce à une élévation de privilèges effectuée depuis l'interface HTTP ou Winbox (client de gestion MikroTik). Mais pour en arriver-là et élever ses privilèges encore un cran plus haut, il y a un prérequis : être déjà admin du routeur ! Ensuite, l'attaquant dispose des autorisations maximales sur le système et peut faire ce qu'il veut... Normalement, même l'admin du routeur n'est pas censé avoir accès à ce niveau de privilège.
Bien que ceci réduit les risques, cette vulnérabilité reste très dangereuse pour deux raisons :
- Par défaut, le compte d'administration se nomme "admin" et il n'a pas de mots de passe (sauf depuis RouterOS v6.49) : il est probable que certains routeurs soient encore dans cet été...
- Le système MikroTik RouterOS n'a pas de fonction de protection anti-brute force, donc il est possible de tenter une attaque sur le compte admin
D'ailleurs, une déclaration de Jacob Baines, un chercheur en sécurité de chez VulnCheck va dans ce sens : "L'exploitation "en masse" sera plus difficile, car des informations d'identification valides sont requises. Cependant, comme je l'ai souligné dans le blog, les routeurs ne disposent pas des protections de base contre la recherche de mot de passe (brute force)".
Cette vulnérabilité n'est pas nouvelle et elle affecte diverses versions du système RouterOS. En fait, elle a été divulguée la première fois en juin 2022, sans aucun identifiant CVE, avant que MikroTik apporte un correctif en octobre 2022 dans une version stable de RouterOS (v6.49.7), et plus récemment, c'est-à-dire le 19 juillet 2023, pour la version long-term de RouterOS (v6.49.8).
D'après les chercheurs en sécurité qui ont fait une recherche sur Shodan afin d'identifier les routeurs avec une interface Web accessibles depuis Internet, il y aurait 474 000 routeurs vulnérables à cette faille de sécurité. Si l'on tient compte aussi du fait que la faille de sécurité est exploitable via Winbox, le nombre d'appareils vulnérables et accessibles depuis Internet grimpe à 926 000 routeurs !
Désormais, vous savez ce qu'il vous reste à faire : mettre à jour le système MikroTik RouterOS de votre routeur ! Accédez à cette page pour télécharger la dernière version. Cette vulnérabilité est spécifique à RouterOS v6 et n'affecte pas RouterOS v7.
Hello et merci, update effectué 🙂