한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
홈페이지MikroTik 취약점은 900,000개의 라우터를 하이재킹하는 데 사용될 수 있습니다(CVE
VulnCheck 연구원인 Jacob Baines는 권한 상승 취약점(CVE-2023-30799)으로 인해 공격자가 최대 900,000개의 MikroTik 라우터를 장악할 수 있다고 밝혔습니다.
익스플로잇에는 인증이 필요하지만 라우터에 액세스하기 위한 자격 증명을 얻는 것은 그리 어렵지 않습니다.
“RouterOS[기본 운영 체제]는 모든 기능을 갖춘 '관리자' 사용자와 함께 제공됩니다. 강화 지침에서는 관리자에게 '관리자' 사용자를 삭제하라고 지시하지만, 많은 설치에서는 그렇지 않은 것으로 알고 있습니다.”라고 Baines는 설명했습니다. "Shodan의 호스트 샘플(n=5500)을 조사한 결과 거의 60%가 여전히 기본 관리자 사용자를 사용하고 있는 것으로 나타났습니다."
또한 2021년 10월까지 기본 "admin" 비밀번호는 빈 문자열이었고 관리자가 비밀번호를 변경하라는 메시지가 표시되지 않았습니다.
“관리자가 새 비밀번호를 설정하더라도 RouterOS는 어떤 제한도 적용하지 않습니다. 관리자는 아무리 간단한 비밀번호라도 자신이 선택한 비밀번호를 자유롭게 설정할 수 있습니다. 시스템이 무차별 대입 보호(SSH 인터페이스 제외)를 제공하지 않기 때문에 이는 특히 불행한 일입니다.”라고 그는 덧붙였습니다.
CVE-2023-30799의 흥미로운 점은 권한 상승을 허용하는 버그가 아니라 공격자가 장치의 OS에 대한 전체 액세스를 허용하는 "수퍼 관리자" 권한을 얻을 수 있도록 허용한다는 것입니다. 감지할 수 없는 변경을 수행합니다.
이 취약점은 올해 CVE 번호를 받았지만 Margin Research의 Ian Dupont와 Harrison Green이 RouterOS x86 가상 머신에서 루트 셸을 얻을 수 있는 FOISted라는 익스플로잇을 발표한 2022년 6월부터 존재가 알려졌습니다.
이 취약점은 그 해 후반에 RouterOS 안정 브랜치에서 수정되었지만(수정 사항은 v6.49.7에서 제공됨) 최신 버전은 아니지만 여전히 널리 사용되는 OS 버전으로 구성된 RouterOS Long-term 브랜치에서는 수정되지 않았습니다.
연구원들이 웹이나 Winbox 인터페이스를 통해 MIPS 기반 MikroTik 장치에서 작동하는 FOISted 익스플로잇을 포팅하고 시연한 후 RouterOS Long-term용 패치가 지난 주에 출시되었습니다.
Baines는 “Shodan은 웹 및/또는 Winbox 인터페이스를 통해 각각 CVE-2023-30799에 취약한 RouterOS 시스템 약 500,000개와 900,000개를 색인화합니다.”라고 말했습니다.
그들은 이 공격을 공개하지 않았지만 경쟁은 계속되고 있습니다. 과거에 공격자들은 다양한 악의적인 목적(크립토재킹, C2 통신 프록시 설정, 익스플로잇 전달)을 위해 MikroTik 라우터를 손상시켰습니다.
또한 공격자가 이미 익스플로잇을 개발하여 눈치채지 못한 채 이를 사용하고 있을 수도 있습니다.
“일반적인 상황에서는 악용을 탐지하는 것이 시스템을 보호하기 위한 좋은 첫 번째 단계라고 말하고 싶습니다. 불행하게도 탐지는 거의 불가능합니다. RouterOS 웹 및 Winbox 인터페이스는 Snort나 Suricata가 해독하거나 검사할 수 없는 사용자 정의 암호화 체계를 구현합니다. 공격자가 장치에 일단 자리를 잡으면 RouterOS UI에서 쉽게 자신을 볼 수 없게 만들 수 있습니다.”라고 Baines는 공유했습니다.
“Microsoft는 잠재적인 악의적 구성 변경을 식별하는 도구 세트를 게시했지만 공격자가 시스템에 대한 루트 액세스 권한을 갖고 있는 경우 구성 변경이 필요하지 않습니다.”
MikroTik 라우터의 관리자/사용자는 고정 버전(안정 버전 또는 장기 버전)으로 업그레이드하고 일반적으로 이러한 유형 및 원격 행위자의 유사한 공격을 방지하기 위해 공격 표면을 최소화하는 것이 좋습니다.
인터넷에서 MikroTik 관리 인터페이스를 제거하거나, 관리자가 로그인할 수 있는 IP 주소를 제한하거나, Winbox와 웹 인터페이스를 비활성화함으로써 이를 수행할 수 있다고 Baines는 말합니다. “관리에는 SSH만 사용하세요. 공개/개인 키를 사용하고 비밀번호를 비활성화하도록 SSH를 구성하십시오.”