Denial Of Service: уязвимость RouterOS 6.38.5 позволяет вызвать отказ сети

02 апрель 2017 7 028 5

Как вы используете Mikrotik?


Не успели Mikrotik закрыть уязвимости, выявленные с публикацией Wikileaks Vault 7, как 28-го марта была опубликована новая уязвимость CVE-2017-7285, причем для самой актуальной версии RouterOS 6.38.5.

Впрочем, не стоит думать, что проблемы с безопасностью только у Mikrotik, они бывают и у Ubiquiti, не говоря о таких брендах как TP-Link и т.д. Совсем иное дело, что не все уязвимости в публичном доступе, да и не все компании быстро устраняют проблемы.

RouterOS 6.35.8 – Denial Of Service

A vulnerability in the network stack of MikroTik Version 6.38.5 released 2017-03-09 could allow an unauthenticated remote attacker to exhaust all available CPU via a flood of TCP RST packets, preventing the affected router from accepting new TCP connections.

Если Вы хотите научиться настраивать MikroTik, предлагаем пройти онлайн обучение. Более подробную информацию Вы можете найти в конце данной публикации.
Denial Of Service: уязвимость RouterOS 6.38.5 позволяет вызвать отказ сети

Суть уязвимости ROS 6.38.5 сводится к возможности удаленной загрузки маршрутизатора пакетами TCP RST (флуд), что влечет за собой загрузку ресурсов CPU до 100% и делает невозможным дальнейший прием пакетов, вызывая отказ в обслуживании – Denial Of Service (DoS).

[admin@MikroTik] > system resource monitor
cpu-used: 100%
cpu-used-per-cpu: 100%
free-memory: 8480KiB


Атака производится на порт 8291, который используется под Winbox. Причем в публичном доступе есть и сам эксплоит, ситуация усугубляется тем, что для его реализации не требуется проходить аутентификацию, т.е. знать даже логин.

Способы защиты

В качестве временной меры можно сменить порт Winbox с 8291 на нестандартный. Сделать это можно в разделе в разделе IP – Services. Недостатком данного метода является то, что он никак не защищает от сканирования портов. К слову, в Mikrotik в базовых правилах Firewall вообще нет защиты от сканирования портов. Если вам попадется опытный пользователь, смена порта его не никак остановит.

смена порта Winbox в RouterOS

Наиболее эффективной будет защита с использованием правил Firewall, путем ограничения доступа к порту Winbox только для IP администратора. Сделать это можно при помощи правила:

ip firewall filter add chain=input action=accept protocol=tcp src-address=ADMIN_IP dst-port=8291 comment=Allow_Winbox


Где ADMIN_IP необходимо заменить на свой IP. При этом, не забудьте запретить доступ к Winbox всем остальным IP.

Для пользователей, использующих маршрутизаторы Mikrotik в домашних целях ничего страшного нет, ведь базовые правила файрволла запрещают доступ к Winbox из WAN (Internet). А вот для больших корпоративных сетей или провайдеров проблема куда более серьезная, ведь действия вредителя могут привести к отказу сети.

Пока уязвимость не устранена, не остается ничего, как ожидать выхода обновления для RouterOS.

Обновлено состоянием на 04-04-2014

На официальном форуме mikrotik продолжается обсуждение данной уязвимости.

Пользователь un1x0d повел тест эксплоита на RB751, hEX lite и CHR (8x Xeon), в результате все три устройства были загружены до 100%, что привело к отказу всех сетевых сервисов. Причем, как отметил un1x0d, уязвимость не зависит от порта и работает с другими портами.

Пользователь McSlash проверил уязвимость на RB951, RB2011, hAp Lite и CCR1036 - во всех услучаях эксплоит сработал. Никакие правила файрволла не помогают. Поддержка Mikrotik пока не признает факт уязвимости. Продолжаем отслеживать развитие событий.

Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)

Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.

Интернет-магазин ntools.com.ua

Комментарии:

Добавить
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
  1. Андрей
    Андрей Посетители 6 апреля 2017 14:17
    + 0 -
    Всегда добавляю защиту от сканирования портов. В сочетании со сменой стандартных портов действует эффективно.
    1. DmitryAVET
      DmitryAVET Создатель 6 апреля 2017 16:19
      + 0 -
      На официальном форуме пишут, что скрипт работает и для старых и для новых версий ROS. Более того, никакие правила файрволла не решают проблему.
      1. Vlad
        Vlad Гости 14 апреля 2017 10:50
        + 0 -
        Проверил на 6.33.5
        На ней эксплойт тоже работает.
      2. virus
        virus Посетители 17 апреля 2017 05:48
        + +2 -
        /ip firewall raw
        add action=drop chain=prerouting in-interface=ether1 ttl=equal:106

        Этим правилом можно нагрузку на проц снизить со 100 до 15%, а на мощных микротиках с большим кол-ом ядер и вовсе до 1, C трафиком 20 мбит правда нече не поделаешь это уже провайдер должен решать
  2. DmitryAVET
    DmitryAVET Создатель 3 апреля 2017 11:49
    + 0 -
    Исходя из официального ответа Mikrotik, пока сложно сказать, будет ли патч

    Any device should have a firewall from the ports where unauthenticated users have access.

    - normis / MikroTik Support

Обновление Mikrotik RouterOS 6.45.1: важные исправления безопасности и

20 июня компания Mikrotik опубликовала в своем блоге короткую заметку , имеющую отношение к уязвимостям CVE-2019-11477, CVE-2019-11478 и...

Как давно вы обновляли RouterOS? Mikrotik предупреждает о необходимости

Несколько дней назад компания Mikrotik совершила массовую рассылку с уведомлением о ботнете, сканирующем одну из прошлогодних уязвимостей....

Серьезная уязвимость SMB в устройствах Mikrotik под управлением RouterOS ниже

19 марта на ресурсе xaker.ru была опубликована короткая статья-перевод по поводу обнаруженной уязвимости в устройствах Mikrotik. В качестве...

Выявлена критическая уязвимость WPA2, позволяющая получить доступ к

Наверное, для многих из вас не будет секретом тот факт, что старенький WPA, как и шифрование TKIP уже давно скомпрометированы. Именно по этой причине...

Следом за Mikrotik о проблемах с безопасностью заговорили в Ubiquiti

12 марта я уже писал о проблемах с безопасностью в Mikrotik, тогда программисты компании сильно подсуетились и выпустили сразу 2 патча. Не прошло и...

Wikileaks опубликовал доклад с информацией о получении доступа к устройствам на

7 марта на ресурсе Wikileaks был опубликован набор документов под названием «Vault 7». Vault 7 – большая подборка документов, имеющих отношение к...

авторизация на сайте

Войти при помощи Facebook Войти при помощи Google+
Забыли пароль?