Ngày 27-7, Giám đốc An ninh mạng của Bkav, ông Nguyễn Văn Cường, thông báo rằng một lỗ hổng nghiêm trọng đã được phát hiện trong hệ điều hành MikroTik RouterOS. Lỗ hổng này cho phép kẻ tấn công xác thực và leo thang đặc quyền từ Admin lên Super Admin, từ đó thực hiện mã độc tùy ý và chiếm quyền kiểm soát thiết bị, biến chúng thành botnet và tiến hành tấn công DDoS.
Ông Nguyễn Văn Cường cũng cho biết lỗ hổng mới phát hiện đã được định danh với mã CVE-2023-30799 và được xếp hạng CVSS 9,1, mức độ nghiêm trọng cao. Tại Việt Nam, tính đến ngày 26-7, có hàng chục nghìn thiết bị MikroTik đang kết nối Internet, tất cả đều đang đối mặt nguy cơ bị khai thác.
Hàng ngàn bộ định tuyến MikroTik tại Việt Nam có khả năng trở thành một mạng botnet
Theo các chuyên gia, để tận dụng lỗ hổng CVE-2023-30799, kẻ tấn công cần có quyền Admin trong khi hầu hết các thiết bị vẫn sử dụng mật khẩu mặc định. Điều này được cho là lỗi xuất phát từ cả người dùng và nhà sản xuất.
Người dùng thường có thói quen bỏ qua việc thay đổi mật khẩu mặc định khi mua thiết bị. MikroTik không cung cấp bất kỳ giải pháp an ninh nào để chống lại các cuộc tấn công brute-force trên hệ điều hành MikroTik RouterOS. Kẻ xâm nhập có thể dễ dàng tìm kiếm tên người dùng và mật khẩu truy cập mà không gặp khó khăn.
Thống kê cho thấy có đến 60% thiết bị MikroTik vẫn đang sử dụng tài khoản admin mặc định. Đáng chú ý, RouterOS không yêu cầu mật khẩu mạnh, cho phép người dùng đặt mật khẩu theo ý muốn, từ đó dễ dàng trở thành mục tiêu của cuộc tấn công brute-force.
Bộ định tuyến MikroTik là một sản phẩm phổ biến được sản xuất bởi một công ty chuyên về thiết bị mạng tại Latvia. Thiết bị này sử dụng hệ điều hành MikroTik RouterOS riêng biệt, cho phép người dùng truy cập vào giao diện quản trị bằng các phương pháp HTTP hoặc ứng dụng Winbox để tạo, cấu hình và quản lý mạng LAN hoặc WAN.
Trên toàn cầu, có khoảng 500.000 thiết bị định tuyến MikroTik đang được kết nối với Internet, có nguy cơ bị tấn công thông qua giao thức HTTP và 900.000 thiết bị qua ứng dụng Winbox. Trong số đó, có khoảng 9.500 thiết bị qua HTTP và 23.000 thiết bị qua Winbox tại Việt Nam, theo dữ liệu ghi nhận của Bkav.
Với số lượng thiết bị kết nối Internet đang ngày càng tăng, để giảm thiểu nguy cơ an ninh, chuyên gia Bkav khuyến nghị người dùng cập nhật RouterOS lên phiên bản mới nhất (6.49.8 hoặc 7.x) và thực hiện những biện pháp bảo mật bổ sung như sau: Ngắt kết nối Internet trên các giao diện quản trị để ngăn chặn truy cập từ xa. Đặt mật khẩu mạnh khi cần thiết phải công khai trang quản trị. Đóng chương trình quản trị Winbox và sử dụng giao thức SSH thay thế, vì MikroTik chỉ cung cấp giải pháp bảo vệ cho giao diện SSH. Thiết lập cấu hình SSH sử dụng cặp khóa công khai/bí mật thay vì sử dụng mật khẩu để xác thực qua SSH. Điều này sẽ tăng cường tính bảo mật và giảm nguy cơ bị tấn công qua phương pháp brute-force.