Hàng chục nghìn bộ định tuyến MikroTik tại Việt Nam có nguy cơ bị tấn công
Lổ hỗng nghiêm trọng vừa được công bố gần đây cho thấy nó đã ảnh hưởng đến hơn 900.000 bộ định tuyến MikroTik, thương hiệu đang bán thiết bị tại Việt Nam.
Theo BleepingComputer, lỗ hổng trên bộ định tuyến MikroTik được gán mã định danh CVE-2023-30799 cho phép kẻ tấn công từ xa có tài khoản quản trị viên hiện có sẽ nâng đặc quyền lên thành quản trị viên cấp cao (superadmin) thông qua giao diện Winbox hoặc HTTP của thiết bị.
Trước đó, báo cáo từ hãng bảo mật VulnCheck giải thích mặc dù để khai thác lỗ hổng yêu cầu phải có tài khoản quản trị viên, tuy vậy đầu vào để tiến hành khai thác lỗ hổng lại đến từ việc mật khẩu mặc định chưa được thay đổi. Các nhà nghiên cứu cho biết, các bộ định tuyến thiếu biện pháp bảo vệ cơ bản chống lại việc đoán mật khẩu.
Một thống kê gần đây cho thấy, có đến 60% thiết bị MikroTik hiện vẫn sử dụng tài khoản admin mặc định. Thậm chí, RouterOS không yêu cầu mật khẩu mạnh, nên người dùng có thể đặt tùy ý, dẫn đến hậu quả càng dễ dàng bị tấn công brute-force.
Bộ định tuyến MikroTik là sản phẩm phổ biến của hãng chuyên sản xuất các thiết bị mạng Latvia. Thiết bị này chạy trên hệ điều hành riêng MikroTik RouterOS, cho phép người dùng truy cập trang quản trị trên cả giao diện web HTTP hoặc ứng dụng Winbox để tạo, cấu hình và quản lý một mạng LAN hoặc WAN.
Thông thường, tài khoản truy cập ban đầu được nhà sản xuất để là "admin" và một mật khẩu mặc định cho phần lớn các sản phẩm. Đây chính là rủi ro dẫn đến thiết bị dễ bị tấn công.
Trên thế giới, số lượng bộ định tuyến MikroTik đang tiếp xúc với Internet có nguy cơ bị khai thác qua HTTP và Winbox lần lượt là 500.000 và 900.000 thiết bị. Còn theo ghi nhận của Bkav, con số này tại Việt Nam là 9.500 qua HTTP và 23.000 qua Winbox.
Lỗ hổng CVE-2023-30799 lần đầu tiên được công bố mà không có số nhận dạng vào tháng 6/2022 và MikroTik đã khắc phục sự cố vào tháng 10/2022 thông qua bản RouterOS stable v6.49.7 và vào ngày 19/7/2023 cho RouterOS long-term (v6.49.8).
Để tăng tính bảo mật và giảm khả năng bị tấn công brute-force cần thiết lập mật khẩu mạnh nếu bắt buộc phải public trang quản trị; tắt chương trình quản trị Winbox và sử dụng giao thức SSH thay thế, do MikroTik chỉ cung cấp giải pháp bảo vệ cho giao diện SSH; cấu hình SSH sử dụng cặp khóa công khai/bí mật thay vì mật khẩu cho việc xác thực qua SSH.