Denial Of Service: уязвимость RouterOS 6.38.5 позволяет вызвать отказ сети

02 апрель 2017 1 788 5

Как вы используете Mikrotik?


Не успели Mikrotik закрыть уязвимости, выявленные с публикацией Wikileaks Vault 7, как 28-го марта была опубликована новая уязвимость CVE-2017-7285, причем для самой актуальной версии RouterOS 6.38.5.

Впрочем, не стоит думать, что проблемы с безопасностью только у Mikrotik, они бывают и у Ubiquiti, не говоря о таких брендах как TP-Link и т.д. Совсем иное дело, что не все уязвимости в публичном доступе, да и не все компании быстро устраняют проблемы.

RouterOS 6.35.8 – Denial Of Service

A vulnerability in the network stack of MikroTik Version 6.38.5 released 2017-03-09 could allow an unauthenticated remote attacker to exhaust all available CPU via a flood of TCP RST packets, preventing the affected router from accepting new TCP connections.

Denial Of Service: уязвимость RouterOS 6.38.5 позволяет вызвать отказ сети

Суть уязвимости ROS 6.38.5 сводится к возможности удаленной загрузки маршрутизатора пакетами TCP RST (флуд), что влечет за собой загрузку ресурсов CPU до 100% и делает невозможным дальнейший прием пакетов, вызывая отказ в обслуживании – Denial Of Service (DoS).

[admin@MikroTik] > system resource monitor
cpu-used: 100%
cpu-used-per-cpu: 100%
free-memory: 8480KiB


Атака производится на порт 8291, который используется под Winbox. Причем в публичном доступе есть и сам эксплоит, ситуация усугубляется тем, что для его реализации не требуется проходить аутентификацию, т.е. знать даже логин.

Способы защиты

В качестве временной меры можно сменить порт Winbox с 8291 на нестандартный. Сделать это можно в разделе в разделе IP – Services. Недостатком данного метода является то, что он никак не защищает от сканирования портов. К слову, в Mikrotik в базовых правилах Firewall вообще нет защиты от сканирования портов. Если вам попадется опытный пользователь, смена порта его не никак остановит.

смена порта Winbox в RouterOS

Наиболее эффективной будет защита с использованием правил Firewall, путем ограничения доступа к порту Winbox только для IP администратора. Сделать это можно при помощи правила:

ip firewall filter add chain=input action=accept protocol=tcp src-address=ADMIN_IP dst-port=8291 comment=Allow_Winbox


Где ADMIN_IP необходимо заменить на свой IP. При этом, не забудьте запретить доступ к Winbox всем остальным IP.

Для пользователей, использующих маршрутизаторы Mikrotik в домашних целях ничего страшного нет, ведь базовые правила файрволла запрещают доступ к Winbox из WAN (Internet). А вот для больших корпоративных сетей или провайдеров проблема куда более серьезная, ведь действия вредителя могут привести к отказу сети.

Пока уязвимость не устранена, не остается ничего, как ожидать выхода обновления для RouterOS.

Обновлено состоянием на 04-04-2014

На официальном форуме mikrotik продолжается обсуждение данной уязвимости.

Пользователь un1x0d повел тест эксплоита на RB751, hEX lite и CHR (8x Xeon), в результате все три устройства были загружены до 100%, что привело к отказу всех сетевых сервисов. Причем, как отметил un1x0d, уязвимость не зависит от порта и работает с другими портами.

Пользователь McSlash проверил уязвимость на RB951, RB2011, hAp Lite и CCR1036 - во всех услучаях эксплоит сработал. Никакие правила файрволла не помогают. Поддержка Mikrotik пока не признает факт уязвимости. Продолжаем отслеживать развитие событий.

Комментарии:

Добавить
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
  1. Андрей
    Андрей Посетители 6 апреля 2017 14:17
    + 0 -
    Всегда добавляю защиту от сканирования портов. В сочетании со сменой стандартных портов действует эффективно.
    1. DmitryAVET
      DmitryAVET Создатель 6 апреля 2017 16:19
      + 0 -
      На официальном форуме пишут, что скрипт работает и для старых и для новых версий ROS. Более того, никакие правила файрволла не решают проблему.
      1. Vlad
        Vlad Гости 14 апреля 2017 10:50
        + 0 -
        Проверил на 6.33.5
        На ней эксплойт тоже работает.
      2. virus
        virus Посетители 17 апреля 2017 05:48
        + +1 -
        /ip firewall raw
        add action=drop chain=prerouting in-interface=ether1 ttl=equal:106

        Этим правилом можно нагрузку на проц снизить со 100 до 15%, а на мощных микротиках с большим кол-ом ядер и вовсе до 1, C трафиком 20 мбит правда нече не поделаешь это уже провайдер должен решать
  2. DmitryAVET
    DmitryAVET Создатель 3 апреля 2017 11:49
    + 0 -
    Исходя из официального ответа Mikrotik, пока сложно сказать, будет ли патч

    Any device should have a firewall from the ports where unauthenticated users have access.

    - normis / MikroTik Support

Следом за Mikrotik о проблемах с безопасностью заговорили в Ubiquiti

12 марта я уже писал о проблемах с безопасностью в Mikrotik, тогда программисты компании сильно подсуетились и выпустили сразу 2 патча. Не прошло и...

Wikileaks опубликовал доклад с информацией о получении доступа к устройствам на

7 марта на ресурсе Wikileaks был опубликован набор документов под названием «Vault 7». Vault 7 – большая подборка документов, имеющих отношение к...

Подробности новой версии RouterOS v7 от Mikrotik

На официальном форуме компании Mikrotik существует тема, посвященная RouterOS v7.0 beta1, в которой по этому вопросу есть некоторые ответы...

Mikrotik выпустил обновление RouterOS 6.34.4 и Winbox v3.4

Компания Mikrotik на этой неделе представила обновление операционной системы RouterOS до версии 6.34.4, а также утилиты Winbox до версии 3.4....

Обновление RouterOS на примере Mikrotik hAP lite (RB941-2n)

Абсолютное большинство устройств Mikrotik работает под управлением специальной операционной системы – RouterOS. ROS является одной из самых...

Критическая уязвимость в роутерах и точках доступа TP-Link

В популярных моделях оборудования от TP-Link найдены критические бреши в безопасности. Уязвимости подвержены: TL-WDR4300, TL-WR743ND, WR743ND,...


авторизация на сайте

Войти при помощи Вконтакте Войти при помощи Facebook Войти при помощи Google+ Войти при помощи Яндекс
Забыли пароль?