VulnCheckは7月25日(米国時間)、「Exploiting MikroTik RouterOS Hardware with CVE-2023-30799 - Blog - VulnCheck」において、MikroTik RouterOS Long-termに、リモート認証をパスした攻撃者がrootシェルを取得できる脆弱性が存在するとして、注意を呼び掛けた。
VulnCheckによると、MikroTik RouterOS Long-term 6.49.8より以前のバージョンに、リモートから認証を受けた攻撃者がrootシェルを取得できる脆弱性CVE-2023-30799があるという。この脆弱性は2022年6月の時点でMargin Research社によって公開されていたが、x86アーキテクチャのみを対象としておりCVEは割り当てられなかった。2023年7月19日にVulnCheckの研究者が、より多くのアーキテクチャを攻撃するエクスプロイトを公開したことでCVE-2023-30799が割り当てられた。
MikroTikはこの脆弱性を2022年10月以前に認識していたとみられ、2022年10月11日公開のMikroTik RouterOS stable(6.49.7)で問題を修正している。しかし、Shodan.ioの計測データをみてみると、未対策のMikroTik RouterOS Long-term(6.48.6)が2番目に多く利用されているバージョンであり、2023年7月18日の時点において50万から90万のMikroTik RouterOSが脆弱性を対策できていないと見られている。
CVE-2023-30799は悪用するにあたって、前提条件としてシステムへの認証が必要な脆弱性である。このため、さほど危険がないように思える。しかし、VulnCheckはMikroTik RouterOSの認証情報の取得は予想以上に簡単であると指摘している。
VulnCheckによると、認証情報はデフォルトで存在しているadminユーザーをブルートフォース攻撃することで取得できる可能性が高いという。MikroTikのルータ保護の推奨事項ではadminユーザーを削除すべきだとしているが、多数のMikroTik RouterOSシステムにおいて削除されていないことがわかっている。また、Margin Research社の解析によりブルートフォース攻撃の手法が見つかっており、簡単に攻撃が可能とされている。認証情報の取得後は、容易にrootシェルを取得することが可能で、これを検知することは困難としている。
VulnCheckはこの脆弱性に対し、予防が最善策だとして、以下の対策を推奨している。
- MikroTik RouterOSの管理用インタフェースをインターネットから削除する
- 管理者のログインできるリモートIPアドレスを制限する
- WinboxおよびWebインタフェースを無効にし、管理者はSSHのみを使用する
- SSHは公開鍵認証を使用し、パスワード認証を無効にする
- MikroTik RouterOSを最新版に更新する
使用しているデバイスのソフトウェアは、常に最新版にアップデートするというベストプラクティスを実施することが望まれる。