Một lỗ hổng nghiêm trọng vừa được phát hiện trong hệ điều hành MikroTik RouterOS, cho phép kẻ tấn công, đã được xác thực, chiếm toàn quyền kiểm soát thiết bị và biến chúng thành các botnet, tấn công DDoS. Tại Việt Nam, tính đến ngày 26/7, số thiết bị MikroTik đang kết nối internet lên đến hàng chục nghìn, đều có nguy cơ bị khai thác.
Hàng chục nghìn thiết bị MikroTik đang kết nối internet tại Việt Nam có nguy cơ bị khai thác lỗ hổng. Ảnh minh họa
Lỗ hổng mới được phát hiện có mã định danh CVE-2023-30799, mức điểm nghiêm trọng CVSS 9,1. Song, các chuyên gia an ninh mạng nhận định “tử huyệt” ở đây lại là “mật khẩu mặc định”. “Để khai thác được lỗ hổng CVE-2023-30799, hacker cần chiếm được quyền admin, trong khi phần lớn mật khẩu mặc định trên các thiết bị chưa được thay đổi”, ông Nguyễn Văn Cường, Giám đốc An ninh mạng của Bkav, cho biết.
Chuyên gia phân tích, lỗi xuất phát cả từ người dùng và nhà sản xuất. Trong khi đó, thói quen của người dùng thường bỏ qua việc đổi mật khẩu mặc định của thiết bị khi mới mua về. Mặt khác, MikroTik không trang bị bất kỳ giải pháp an ninh nào chống lại các cuộc tấn công brute-force trên hệ điều hành MikroTik RouterOS.
Theo đó, tin tặc có thể dò tên người dùng và mật khẩu truy cập của người dùng mà không bị ngăn chặn. Một thống kê cho thấy, có đến 60% thiết bị MikroTik hiện vẫn sử dụng tài khoản admin mặc định. Thậm chí, RouterOS không yêu cầu mật khẩu mạnh nên người dùng có thể đặt tùy ý, dẫn đến hậu quả càng dễ dàng bị tấn công brute-force.
Lỗ hổng này được đánh giá là rất nghiêm trọng, có thể bị hacker lợi dụng để tạo ra mạng máy tính bị nhiễm độc nhằm thực hiện các vụ xâm nhập và tấn công website từ xa.
Lỗ hổng này nằm trong hệ điều hành MikroTik RouterOS, có mã định danh CVE-2023-30799 cho phép hacker chiếm quyền từ Admin lên Super Admin để thực thi mã tùy ý, chiếm toàn quyền kiểm soát thiết bị và biến chúng thành các mạng máy tính ma (botnet) dùng để tấn công Từ chối Cung cấp Dịch vụ Phân tán (DDoS).
Tại Việt Nam, số lượng thiết bị MikroTik trong mạng Internet lên đến hàng chục nghìn chiếc, trong đó phần lớn mật khẩu trên những thiết bị này vẫn để mặc định – ông Nguyễn Văn Cường, Giám đốc An ninh mạng BKAV cho biết.
Theo chuyên gia BKAV, lỗi này đến từ cả người dùng và nhà sản xuất. Người dùng thường bỏ qua việc đổi mật khẩu mặc định của thiết bị khi mua về, trong khi đó MikroTik lại không trang bị bất kỳ giải pháp bảo mật nào chống lại các cuộc tấn công dò mật khẩu (brute force) trên hệ điều hành MikroTik RouterOS. Hacker có thể thoải mái dò tên người dùng và mật khẩu truy cập của người dùng mà không bị ngăn chặn.
Một thống kê cho thấy, có đến 60% thiết bị MikroTik hiện vẫn sử dụng tài khoản admin mặc định. Thậm chí, hệ điều hành RouterOS không yêu cầu mật khẩu mạnh như phải có chữ hoa chữ thường hay ký tự đặc biệt, nên người dùng có thể đặt mật khẩu tùy ý, dẫn đến hậu quả càng dễ dàng bị tấn công theo kiểu dò mật khẩu.
Để giảm thiểu rủi ro, BKAV khuyến cáo người dùng lập tức cập nhật bản vá mới nhất (6.49.8 hoặc 7.x) cho hệ điều hành MikroTik RouterOS, đồng thời thực hiện các giải pháp bổ sung sau:
– Bỏ kết nối Internet trên các giao diện quản trị để ngăn chặn việc truy cập từ xa.
– Thiết lập mật khẩu mạnh nếu bắt buộc phải đưa public trang quản trị.
– Tắt chương trình quản trị Winbox và sử dụng giao thức SSH thay thế, do MikroTik chỉ cung cấp giải pháp bảo vệ cho giao diện SSH.
– Cấu hình SSH sử dụng cặp khóa công khai/bí mật thay vì mật khẩu cho việc xác thực qua SSH. Điều này sẽ tăng tính bảo mật và giảm khả năng bị tấn công dò mật khẩu. (Tổng hợp)
BQT : Để quản lý các lổ hỗng bảo mật tốt ta cần các hệ thống Vuln Management như Nessus, OpenVAS, Nexpose, Qualys hay các hệ thống giám sát và cảnh báo thích hợp như Wazuh hay ElastciStack … Ngày nay, các bạn có thể cài đặt Wazuh trên đám mây như linode, cloudzone với chi phí khoảng 24 $ / tháng và triển khai các agent cho những máy cần quản trị, hoặc cài Wazuh trên mạng nội bộ và có nhân viên quản trị , giám sát.
Tại Security365 Có nhiều chương trình đào tạo live có những bài hướng dẫn cách quản lý lổ hỗng bảo mật tốt như CEH , cao cấp có CPENT, LPT hoặc các chương trình của CompTIA Security +, Pentest+ , CySA+
Bên cạnh đó là các khóa học qua video như Chương trình Đào tạo Hacker Mũ Xám với 6 Level từ Metsaploit , Commado, Kali Linux cho đến quy trình pentest và dò quét lổ hỗng bảo mật.
Hãy tham khảo một số bài học demo hay record từ các buổi live tại kênh Seccurity365 :
Chương Trình Đào Tạo An Toàn Thông Tin Quốc Tế Tại Việt Nam 
Bình luận về bài viết này