Контакты
Подписка 2023
МЕНЮ
Контакты
Подписка
Форум ITSEC 2023: информационная и кибербезопасность России
Форум ITSEC 11-20 апреля 2023: информационная и кибербезопасность России
Жми, чтобы участвовать

Уязвимость в RouterOS позволяет вывести из строя оборудование MikroTik

09/04/19

mikrotikЛатвийский производитель сетевого оборудования MikroTik раскрыл подробности об уязвимости, позволяющей удаленно вызвать сбой в работе устройств, работающих на базе ОС RouterOS (большая часть продукции компании).

Проблема (CVE-2018-19299) проявляется на устройствах MikroTik с включенной поддержкой протокола IPv6. Для того чтобы вывести из строя маршрутизатор, атакующему потребуется всего лишь отправить специально сформированные IPv6 пакеты, приводящие к повышенному использованию ОЗУ.

Согласно пояснению вендора, перерасход ресурсов происходит в связи с тем, что размер кэша IPv6 может превышать объем ОЗУ. Для решения проблемы производитель добавил в новые версии RouterOS (v6.44.2 и v6.43.14) возможность вычислять размер кэша на основании доступной памяти на устройстве. Однако, по утверждению специалиста компании Faelix Марека Исальски (Marek Isalski), обнаружившего уязвимость, данное решение работает только на устройствах с объемом ОЗУ более 64 МБ.

Исальски сообщил MikroTik о баге в середине апреля минувшего года. В компании признали наличие уязвимости, но не посчитали ее «проблемой безопасности». Тем не менее, с минувшего апреля производитель выпустил более 20 версий RouterOS, устраняющих неполадку. Одной из основных причин релиза столь большого количества версий является тот факт, что уязвимость находится на уровне ядра и исправить ее довольно сложно. Как пояснил сотрудник службы техподдержки компании, в RouterOS v6 реализована устаревшая версия ядра, которую невозможно изменить.

Ожидается, что исправления для оборудования с небольшим объемом ОЗУ будут добавлены в следующую бета-версию RouterOS, сроки релиза которой пока не сообщаются.

Темы:УгрозыMikroTikроутеры
Внедряем UEBA и DLP-системы
5 апреля 2023: Внедряем UEBA и DLP-системы
Жми, чтобы участвовать
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Внедряем UEBA и DLP-системы
Внедряем UEBA и DLP-системы 5 апреля 2023
Жми, чтобы участвовать

Еще темы...