Hơn chục nghìn bộ định tuyến MikroTik tại Việt Nam dễ bị tấn công

Một lỗ hổng nghiêm trọng vừa được phát hiện trong bộ định tuyến MikroTik khiến hàng trăm nghìn thiết bị trên thế giới đứng trước nguy cơ bị tấn công. Tuy nhiên, đầu vào để tiến hành khai thác lỗ hổng lại đến từ một cách ít ai ngờ: mật khẩu mặc định chưa được thay đổi.​

Bộ định tuyến MikroTik là sản phẩm phổ biến của hãng sản xuất cùng tên đến từ Latvia chuyên về các thiết bị mạng. Bộ định tuyến này chạy trên hệ điều hành riêng MikroTik RouterOS. Người dùng khi sử dụng có thể truy cập trang quản trị trên cả giao diện web HTTP hoặc ứng dụng tên là Winbox để tạo, cấu hình và quản lý một mạng LAN hoặc WAN.

Thông thường, tài khoản truy cập ban đầu nhà sản xuất sẽ để là “admin” và một mật khẩu mặc định cho phần lớn các sản phẩm. Đây chính là rủi ro dẫn đến thiết bị dễ bị tấn công.

Lỗ hổng mới được phát hiện có mã định danh CVE-2023-30799 ở mức nghiêm trọng với điểm CVSS 9,1, tồn tại trong hệ điều hành MikroTik RouterOS, cho phép kẻ tấn công đã được xác thực có thể leo thang đặc quyền từ “admin” lên “super admin” để thực thi mã tùy ý và chiếm toàn quyền kiểm soát các thiết bị và biến chúng thành các botnet để phục vụ các cuộc tấn công DDoS.

Từ “mặc định” trở thành “mặc kệ”​

Theo đánh giá của các chuyên gia, nguyên nhân chính dẫn đến lỗ hổng xuất phát từ hai yếu tố: người dùng và nhà sản xuất.

Thói quen của người dùng khi mua thiết bị về thường bỏ qua những khuyến cáo về an toàn của nhà sản xuất và “quên” đổi mật khẩu mặc định của thiết bị.

Công ty công nghệ VulnCheck cho biết, có đến 60% thiết bị MikroTik hiện vẫn sử dụng tài khoản admin mặc định. Nhưng kể cả khi người dùng đã thực hiện đổi mật khẩu thì vẫn còn những nguy cơ khác từ nhà sản xuất.

MikroTik không trang bị bất kỳ giải pháp an ninh nào chống lại các cuộc tấn công brute-force trên hệ điều hành MikroTik RouterOS. Tin tặc có thể sử dụng các công cụ để dò tên người dùng và mật khẩu truy cập mà không hề bị ngăn chặn.

Hơn nữa, hãng MikroTik cũng cho phép đặt mật khẩu admin rỗng và “mặc kệ” vấn đề này xảy ra cho đến tháng 10 năm 2021 mới phát hành phiên bản RouterOS 6.49 để xử lý.

Cuối cùng, RouterOS không yêu cầu mật khẩu mạnh, vì vậy người dùng có thể đặt tùy theo ý muốn dẫn đến việc tấn công brute-force càng dễ dàng hơn.

Cập nhật ngay bản vá kèm giải pháp bổ sung​

Hiện nay, trên thế giới số lượng bộ định tuyến MikroTik đang tiếp xúc với Internet có nguy cơ bị khai thác qua HTTP và Winbox lần lượt là 500.000 và 900.000 thiết bị. Trong đó, theo thống kê của WhiteHat, con số này tại Việt Nam được ghi nhận hơn 9.500 thiết bị sử dụng trang quản trị qua HTTP và 23.000 thiết bị qua Winbox.

Với số lượng các thiết bị lớn như vậy, để giảm thiểu rủi ro, chuyên gia WhiteHat khuyến cáo người dùng nên cập nhật ngay bản vá mới nhất (6.49.8 hoặc 7.x) cho RouterOS, đồng thời có thể thực hiện thêm các giải pháp bổ sung sau:

• Bỏ kết nối Internet trên các giao diện quản trị để ngăn chặn việc truy cập từ xa.
• Thiết lập mật khẩu mạnh nếu bắt buộc phải public trang quản trị.
• Tắt chương trình quản trị Winbox và sử dụng giao thức SSH thay thế do MikroTik chỉ cung cấp giải pháp bảo vệ cho giao diện SSH.
• Cấu hình SSH sử dụng cặp khóa công khai/bí mật thay vì mật khẩu cho việc xác thực qua SSH. Điều này làm tăng tính bảo mật và giảm khả năng bị tấn công brute-force.