VulCheck研究人员警告称，MikroTik RouterOS有一个关键漏洞，被追踪为CVE-2023-30799（CVSS得分：9.1），可以针对500000多个RouterOS系统发起大规模攻击。

      NIST发布的公告中写道：“ MikroTik RouterOS是一个操作系统，在MikroTik的路由器和其他网络设备上运行，很容易出现权限升级问题。远程且经过身份验证的黑客可以在Winbox或HTTP接口上将权限从管理员升级为超级管理员，从而在路由器上获得根外壳程序，利用此漏洞在系统上执行任意代码。”

      该漏洞本身于2022年6月首次披露，但在Vulneck发布新漏洞后才分配了CVE。现在已经有了补丁，但研究人员表示，全球约有47.2万台RouterOS设备通过其网络管理界面仍然存在漏洞，如果通过Winbox管理客户端进行攻击，这一数字将上升到92万多台。

      Mikrotik RouterOS操作系统不支持暴力保护，默认的“admin”用户密码在2021年10月之前是空字符串。随着RouterOS 6.49于2021年10月发布，管理员被提示应更改密码。

      更让人震惊的是，检测CVE-2023-30799的利用“几乎不可能”，因为RouterOS web和Winbox接口实现了自定义加密，而威胁检测系统Snort和Suricata无法解密和检查这些加密。一旦黑客在设备上站稳脚跟，RouterOS UI就无法看到它。研究人员建议密切关注暴力尝试或将恶意ELF二进制文件上传到设备的行为，以此来识别任何正在进行的攻击。以下是专家们提出的建议：

1.从互联网上删除MikroTik管理界面。
2.限制管理员可以登录的IP地址。
3.禁用Winbox和web界面。仅使用SSH进行管理。
4.配置SSH以使用公钥/私钥并禁用密码。

      正如我们所看到的，在硬件上利用CVE-2023-30799非常容易。鉴于RouterOS作为APT目标的悠久历史，再加上FOISted早在一年多前就发布了，应该早有群体发现了这一问题。