- PVSM.RU - https://www.pvsm.ru -
Не успели в MikroTik запатчить уязвимость озвученную в статье [1] из хак тулзов ЦРУ, как была обнаружена возможность совершения Denial Of Service на удаленное оборудование работающее на RouterOS (предварительно — атаке подвержены все версии OS).
Уязвимость позволяет загрузить ЦП RouterOS на 100% путем отправки кучи TCP RST пакетов на порт 8291 который по дефолту используется Winbox'ом. По дефолту, доступ к этому порту закрыт фаерволом, но если вы его открывали для управления вашими тиками через интернет, следует как можно скорее хотя бы сменить дефолтовый порт, а в лучшем случае прописать разрешение на доступ к порту winbox только для определенных ip (хотя не факт что это спасет):
ip firewall filter add chain=input action=accept protocol=tcp src-address=ADMIN_IP dst-port=8291 comment=Allow_Winbox
По данным из обсуждения на офф. сайте [2] уязвимости подвержены как аппаратные устройства (протестировано на: RB751, hEX lite, RB951, RB2011, CCR1036 и даже RB3011) так и виртуальные CHR (проверено на 8x Xeon).
Пример рабочего эксплоита есть в открытом доступе [3].
Официальный представитель MikroTik советует [4] отключить в меню Ip service все сервисы (будьте внимательны), сменить стандартные порты, использовать маршрутизатор, ограничить доступ к этим сервисам только из внутренней сети через vpn на стороннем устройстве, или же купить более производительный роутер. Да и вообще это с его слов «нормальная ситуация», что производительности ЦП не хватает для обработки такого кол-ва пакетов…
Автор: gromka
Источник [5]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/252664
Ссылки в тексте:
[1] статье: https://geektimes.ru/post/286702/
[2] офф. сайте: https://forum.mikrotik.com/viewtopic.php?f=1&t=120270
[3] открытом доступе: https://cxsecurity.com/issue/WLB-2017030242
[4] советует: https://forum.mikrotik.com/viewtopic.php?f=1&t=120270#p591953
[5] Источник: https://geektimes.ru/post/288034/
Нажмите здесь для печати.