Verze Mikrotik

Z KHnetWiki

(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
Řádka 18: Řádka 18:
Většinou nelze zjistit, ve které verzi chyba vznikla. Čili ani nelze prohlásit, že je nějaká starší verze bezpečná.
Většinou nelze zjistit, ve které verzi chyba vznikla. Čili ani nelze prohlásit, že je nějaká starší verze bezpečná.
 +
 +
[https://forum.mikrotik.com/viewtopic.php?t=76310 ROSSSH]
 +
Problém SSH serveru, za určitých podmínek (vyvolaných z vnějšku) může spadnout a už nenastartovat. Dle Mikrotiku nijak zvlášť nebezpečná chyba, neboť způsobí jen DoS (odmítnutí služby), ale router nekompromituje.
 +
 +
Opraveno v 5.26 a 6.3
[https://forum.mikrotik.com/viewtopic.php?f=21&t=119308 CIA Vault 7]
[https://forum.mikrotik.com/viewtopic.php?f=21&t=119308 CIA Vault 7]

Verze z 3. 7. 2018, 09:00

Všechny verze RouterOS (ROS) starší než 6.40.8 jsou ovládnutelné na dálku i bez znalosti hesla (chyba v subsystému Winbox).

Stejně tak verze starší než 6.42.1.

Čili používá-li někdo tzv. bugfix řadu, je nutné minimálně 6.40.8. A pokud už přešel na 6.41 a novější (pozor, tam se mění práce s interním switchem a bridge), tak minimálně 6.42.1.

[1]

Jako dočasné řešení lze zakázat winbox na takovém zařízení pomocí volby v menu ip/services. Většinou lze použít webové rozhraní jako náhradu - jenže to v nějaké ne moc vzdálené verzi též trpělo chybou. A to velice podobnou. Tedy upgrade je vlastně jediná správná volba.

Trochu matoucí jsou občas objevující se zprávy, že ani zákaz v ip/services nepomáhá. Nikdo neví, jestli to je tento problém, nebo ještě nějaký jiný. A ani výrobcem to nebylo potvrzeno. Není to pravděpodobné, ale pravděpodobnost je vždy větší než nula ...

ROS download


Shrnutí:

Většinou nelze zjistit, ve které verzi chyba vznikla. Čili ani nelze prohlásit, že je nějaká starší verze bezpečná.

ROSSSH Problém SSH serveru, za určitých podmínek (vyvolaných z vnějšku) může spadnout a už nenastartovat. Dle Mikrotiku nijak zvlášť nebezpečná chyba, neboť způsobí jen DoS (odmítnutí služby), ale router nekompromituje.

Opraveno v 5.26 a 6.3

CIA Vault 7 Problém se týká http serveru, který je používaný funkcí WebFig (náhrada winboxu). U problematických verzí je to řešitelné zákazem služby v konfiguraci /ip/services.

Opraveno v 6.38.5 a 6.39rc49

SMB Vulnerability

Opraveno 6.41.3 a 6.42.0
Naštěstí SMB používá na ROS asi málokdo. Ochrana je dostatečná prostě zákazem této služby, nebo firewallem.

WPA2 vulnerabilities Problém přímo v návrhu šifrování WPA2, postihuje klienty. Umožňuje odposlech a změnu dat.

Opraveno v 6.39.3, 6.40.4 a 6.41

Napadení Winbox Jedná se o možnost ovládnutí mikrotiku pomocí administračního nástroje Winbox i bez znalosti hesla. A nesmí se zapomenout, že existuje i možnost připojení "na MAC", což lze sice jen z přímo připojené sítě, ale zato to není TCP/IP a netýkají se toho nastavení ip/services.

Vznik problému v 6.29 (tvrdí mikrotik; vlastním výzkumem potvrzena i verze 6.28)
Opraveno v 6.40.8 a 6.42.1

Závěr: používání verzí starších než 6.40.8 či 6.42.3 (k 24.5.2018) je bohapustý hazard ... vlastně se nelze vyhnout nějaké díře v systému. Snad leda čisté access-pointy (nebo bez wifi) do 6.28.x s vypnutým https/https ...


Winbox

Také platí nutnost používat nejnovější Winbox.exe. Od verze 3.12 totiž nestahuje žádné DLL knihovny z ROS verze 6.0 a novějších, čili neohrozí správcův počítač.

Verze 3.13 dokonce natvrdo odmítá připojení k ROS starší než 6.x

A verze 3.14 je nutná pro ROS 6.43 a novější, kde se na základě zjištění posledních chyb mění způsob přihlašování (interně; a to včetně API).

A aby toho nebylo málo, už existuje i 3.15 (k 19.6.2018), která opravuje nějaké chybky (vypadá to, že ne moc závažné) se službou RoMON.

Osobní nástroje