Se ha publicado un nuevo CVE que describe un problema de elevación de privilegios (policy elevation issue) , donde un administrador conectado con permisos del «opción policy en users group» (capaz de otorgar permisos adicionales a cualquier usuario en el enrutador) también puede enviar comandos de configuración manipulados que normalmente son rechazados cuando los envía un usuario. Esto puede ser utilizado como un paso inicial para ejecutar código arbitrario en el enrutador, lo que permite al usuario conectado obtener control sobre el sistema operativo subyacente en el que se ejecuta RouterOS.

Para poder aprovechar este exploit descubierto, se necesitaría acceso con permisos administrativos al RouterOS, es decir, un nombre de usuario y contraseña conocidos, así como una forma alcanzar una conexión (sin firewall o politicas de acceso).

Esta no es la única forma en que un administrador con un alto nivel de acceso (como el requerido para este exploit) puede comprometer el enrutador. Otras posibilidades incluyen guardar, modificar y restaurar copias de seguridad de la configuración (que esten comprometidas); instalar paquetes de software adicionales (que esten comprometidos); utilizar otro dispositivo en la red local para reinstalar el enrutador a una versión vulnerable conocida (exploit anteriores).

Por lo tanto, si una parte malintencionada tiene acceso completo de administrador (full access en el policy group) a un enrutador, este exploit proporciona pocas ventajas adicionales. Es extremadamente importante asegurarse de que la interfaz de configuración del enrutador esté protegida con una contraseña segura y no sea accesible para partes no confiables.

Sugerencias de acciones a seguir:

- Abstenerse de otorgar acceso administrativo a usuarios no confiables.
- Asegurar que la configuración del firewall proteja el dispositivo contra intentos de inicio de sesión por fuerza bruta.
- Utilizar la función "modo de dispositivo (device mode)" de RouterOS para asegurar partes críticas de su dispositivo.
- Mantener RouterOS actualizado utilizando la función "check-for-updates" para asegurarse de que esté ejecutando la última versión de RouterOS disponible.

En resumen, un administrador de RouterOS con todos los derechos ya puede hacer cualquier cEn resumen, un administrador de RouterOS con todos los derechos ya puede hacer cualquier cosa en RouterOS y tiene control total sobre toda la configuración, pero no debería poder ejecutar otro código o inyectar otros archivos en el subsistema de RouterOS. Este problema ha sido corregido en todas las versiones de RouterOS disponibles en la página de descargas de www.mikrotik.com (v7.7 y v6.49.7 y versiones posteriores).


Fuente: https://blog.mikrotik.com/security/cve-2023-30799.html