Ионут Илашку
  • 5 апреля 2019 г.
  • 2:23 вечера
  • 0

MikroTik в четверг опубликовал подробности о проблеме, которую легко использовать удаленно, чтобы вызвать состояние отказа в обслуживании (DoS) на устройствах под управлением RouterOS, который является большинством продуктов от производителя.

Последние обновления для операционной системы предназначены для решения этой проблемы, но они не оказывают одинакового влияния на все устройства, а некоторые из них продолжают оставаться уязвимыми.

Запоздалый патч хорош только для некоторых устройств

Отслеживаемая как CVE-2018-19299, эта уязвимость затрагивает непатентованное оборудование MikroTik, которое маршрутизирует пакеты IPv6. Чтобы вывести систему из строя, злоумышленнику нужно только отправить определенную строку пакетов IPv6, что увеличило бы использование оперативной памяти на маршрутизаторе.

Хотя переход на IPv6 еще далек от завершения, в последнее время его распространение возросло. Данные Akamai на 1 апреля показывают, что Индия является страной, обеспечивающей большую часть трафика через IPv6 (63,3%), за которым следуют франкоязычный остров Карибского бассейна (Сен-Бартель) (51%) и Соединенные Штаты (46,5%).

Латвийский продавец объясняет в своем блоге, что недостаток вызвал заполнение памяти, потому что размер кэша маршрута IPv6 мог быть больше, чем доступная RAM. Чтобы исправить это, новая RouterOS может рассчитать размер кэша на основе доступной памяти на устройстве.

Это исправление присутствует в текущих стабильных (v6.44.2) и долгосрочных (v6.43.14) версиях RouterOS, но оно работает только на устройствах с более чем 64 МБ ОЗУ, говорит Марек Исальски, технический директор Faelix. ISP, хостинг, и поставщик услуг безопасности, базирующийся в Манчестере, Великобритания.

ОБНОВЛЕНИЕ: это НЕ исправление на устройствах с 64 МБ ОЗУ (не проверено на меньшем количестве, но подозреваю, что это то же самое). https://t.co/EmNEObf8ZX

К такому выводу пришел Исальский после тестирования на оборудовании MikroTik с 64 МБ ОЗУ. Тренер MikroTik Хавьер Прието обнаружил уязвимость самостоятельно, как и другие сетевые инженеры, и заметил, что если маршрутизаторы с RouterOS 6.44.2 не дают сбой, если у них достаточно памяти.

Используя Cloud Hosted Router (CHR), версию RouterOS, оптимизированную для работы на виртуальной машине, с 256 МБ оперативной памяти, Прието увидел, что система показала 197 МБ свободной перед атакой. Во время атаки только с одного компьютера объем свободной памяти уменьшается примерно до 20 МБ, а иногда до 13 МБ, он поделился на форуме MikroTik.

Исальский. тот, кто обнаружил уязвимость и сообщил об этом MikroTik в прошлом году, 16 апреля, согласно сокращенной версии графика, который он предоставил. Он говорит, что компания признала проблему и классифицировала ее как не уязвимость безопасности. В середине марта он предупредил различные группы по кибернетическому реагированию об уязвимости и предоставил доказательства ее использования в условиях дикой природы.

Ожидается оптимизация для устройств с низким объемом оперативной памяти

Смягчить этот риск DoS невозможно, настроив фильтры в брандмауэре RouterOS, поскольку любые причины истощения памяти могут быть установлены с любым пакетом IPv6.

Если функция IPv6 включена (по умолчанию она неактивна), Исальски сказал, что CVE-2018-19299 затрагивает практически любое из устройств MikroTik, даже те, которые используются в качестве «основных» или «транзитных» маршрутизаторов.

Он настоятельно рекомендует операторам сетей, которые переключились на протокол связи IPv6, протестировать и развернуть RouterOS 6.43.14 и 6.44.2. как только они могут.

После того, как MikroTik узнал об этой уязвимости, было выпущено более 20 версий RouterOS. Одной из причин этого, помимо исключения угрозы безопасности, является то, что недостаток находится на уровне ядра, и его очень трудно исправить. Член службы поддержки компании сказал, что RouterOS v6 имеет более старую версию ядра и ее нельзя изменить.

Для оборудования с низким объемом оперативной памяти оптимизация ожидается в следующей бета-версии RouterOS. Дата релиза пока неизвестна.

Исальски предоставит технические подробности об уязвимости 9 апреля в своем выступлении на Форуме сетевых операторов Великобритании (UKNOF), которое будет транслироваться в прямом эфире. Инженер по сетевой безопасности также представит полную хронологию своих взаимодействий с MikroTik для решения проблемы.

Конференция является одной из причин, по которой тема стала известна широкой аудитории и способствовала тому, что MikroTik начал работу над патчем.