I router MikroTik offrono un’ampia gamma di funzionalità, prestazioni affidabili e un buon supporto della comunità. Sono quindi una scelta davvero interessante sia per i professionisti che per i provider Internet alla ricerca di soluzioni di rete robuste ed efficienti. Si tratta di prodotti versatili, flessibili, equipaggiati con un sistema operativo (RouterOS) che supporta un’ampia gamma di funzionalità avanzate per la gestione e la configurazione delle reti. RouterOS è compatibile con molteplici protocolli di routing, permette l’uso di VPN, firewall, l’attivazione del load balancing e molto altro ancora. I router MikroTik sono inoltre progettati per offrire prestazioni elevate anche con carichi di lavoro intensi; inoltre, assicurano aggiornamenti frequenti.
Gli esperti di VulnCheck hanno tuttavia scoperto una pericolosa vulnerabilità che può potenzialmente interessare una vasta gamma di dispositivi collegati alla rete Internet. La falla CVE-2023-30799, se sfruttata, permette a un utente già in possesso di un account amministratore attivo e funzionante di elevare i privilegi e acquisire i diritti di Super Admin.
Perché la falla CVE-2023-30799 dei router MikroTik è pericolosa
I router MikroTik utilizzano una coppia predefinita di nome utente e password. Se tali credenziali di default restano invariate, chiunque può potenzialmente accedere con l’account admin e sfruttare la vulnerabilità individuata da VulnCheck per acquisire diritti ancora più ampi.
Lo sfruttamento di massa del problema di sicurezza è poco probabile perché, come detto, l’aggressore deve conoscere le credenziali valide di un account amministratore. Tuttavia, i ricercatori fanno notare che i router MikroTik sono sprovvisti di un solido meccanismo di protezione contro gli attacchi brute force, tesi a indovinare le password corrette per l’accesso al dispositivo.
Sono centinaia di migliaia i router MikroTik che espongono pubblicamente l’interfaccia di amministrazione. Per questo motivo VulnCheck ha evitato di pubblicare il codice exploit utile a sfruttare la vulnerabilità in questione. “In quel caso sarebbe stato utilizzato a stretto giro, dopo la pubblicazione della nostra analisi tecnica“, osservano i tecnici della società che hanno preferito muoversi con i piedi di piombo.
A differenza dell’account admin, che offre privilegi elevati ma comunque limitati, il profilo Super Admin garantisce totale accesso al sistema operativo RouterOS. I privilegi Super Admin, infatti, non è qualcosa che di norma viene concesso agli utenti: essi permettono a determinate componenti software di agire a basso livello sul comportamento del router.
Ciò rende la vulnerabilità preziosa per chi desidera eseguire il jailbreak del dispositivo RouterOS per apportare modifiche significative al sistema operativo sottostante o nascondere le proprie attività.
Come mettere in sicurezza i router affetti dalla vulnerabilità
Dopo le segnalazioni di VulnCheck, MikroTik ha risolto il problema a ottobre 2022 nella versione stabile di RouterOS (v6.49.7) per poi aggiornare anche RouterOS Long-term (v6.49.8) a luglio 2023. RouterOS Long-term (LT) è una versione del sistema operativo MikroTik che offre supporto a lungo termine e una maggiore stabilità rispetto alle versioni regolari.
Se quindi il modo migliore per proteggere i router MikroTik è quello di scaricare e installare il firmware aggiornato, alcune attenzioni di carattere generale non dovrebbero mai essere poste da parte. Pr evitare problemi, è sempre bene evitare di esporre l’interfaccia di amministrazione del router sulla porta WAN: non dovrebbe mai essere accessibile da remoto, in special modo da parte di coloro che effettuano una scansione degli indirizzi IP pubblici. Se proprio si avesse la necessità di abilitare la gestione remota del router, si dovrebbe specificare solo una lista di indirizzi IP molto limitata.
In particolare, nel caso dei router MikroTik, è opportuno disattivare Winbox. Si tratta dell’applicazione di gestione basata su interfaccia grafica (GUI) per la configurazione e l’amministrazione dei router. È un software desktop che fornisce un’interfaccia user-friendly per accedere, controllare e configurare i dispositivi.
Al posto di Winbox si può invece utilizzare soltanto SSH avendo cura di impostare il router affinché faccia uso di chiavi pubbliche e private (crittografia asimmetrica) anziché semplici password.