Verze Mikrotik
Z KHnetWiki
(Založena nová stránka: Všechny verze starší než 6.40.8 jsou ovládnutelné na dálku i bez znalosti hesla (chyba v subsystému Winbox). Stejně tak verze starší než 6.42.1. Čili použí...) |
|||
(Není zobrazeno 37 mezilehlých verzí.) | |||
Řádka 1: | Řádka 1: | ||
- | Všechny verze starší než 6.40.8 jsou ovládnutelné na dálku i bez znalosti hesla (chyba v subsystému Winbox). | + | Všechny verze RouterOS (ROS) starší než 6.40.8 jsou ovládnutelné na dálku i bez znalosti hesla (chyba v subsystému Winbox). |
Stejně tak verze starší než 6.42.1. | Stejně tak verze starší než 6.42.1. | ||
- | Čili používá-li někdo tzv. bugfix řadu, je nutné minimálně 6.40. | + | Čili používá-li někdo tzv. bugfix řadu, je nutné minimálně 6.40.9. A pokud už přešel na 6.41 a novější (pozor, tam se mění práce s interním switchem a bridge), tak minimálně 6.42.10. |
[https://forum.mikrotik.com/viewtopic.php?f=21&t=133533] | [https://forum.mikrotik.com/viewtopic.php?f=21&t=133533] | ||
- | Jako dočasné řešení lze zakázat winbox na takovém zařízení pomocí volby v menu ip/services. Většinou lze použít webové rozhraní - jenže to v nějaké ne moc vzdálené verzi též trpělo chybou. A to velice podobnou. Tedy '''upgrade je vlastně jediná správná volba'''. | + | Jako dočasné řešení lze zakázat winbox na takovém zařízení pomocí volby v menu ip/services. Většinou lze použít webové rozhraní jako náhradu - jenže to v nějaké ne moc vzdálené verzi též trpělo chybou. A to velice podobnou. Tedy '''upgrade je vlastně jediná správná volba'''. A následně poté změna hesla na jiné (a bezpečné: [http://hodza.net/password-meter/] [https://haveibeenpwned.com/Passwords]). |
+ | |||
+ | Trochu matoucí jsou občas objevující se zprávy, že ani zákaz v ip/services nepomáhá. Nikdo neví, jestli to je tento problém, nebo ještě nějaký jiný. A ani výrobcem to nebylo potvrzeno. Není to pravděpodobné, ale pravděpodobnost je vždy větší než nula ... | ||
+ | |||
+ | '''POKRAČOVÁNÍ'''<br> | ||
+ | Všechny verze starší než 6.42.7 (s výjimkou 6.40.9) mají opět chyby ve WWW serveru. Čili je nutné buď upgradovat, nebo si http (i https) zakázat v ip/services. | ||
+ | |||
+ | [https://mikrotik.com/download ROS download] | ||
+ | |||
+ | Postup upgrade (převzato z forum.mikrotik.com): 5.26 -> 6.7 -> 6.29 -> 6.40.8 -> 6.42.x.<br> | ||
+ | Po každém upgrade je nutný i upgrade firmware (bios) a další reboot.<br> | ||
+ | |||
+ | Nechte si povolené Neighbors z WAN rozhraní. Nic tajného se tím nepřenáší a dá to šanci dohledovému systému KHnet dohledat problémové routery. | ||
+ | |||
+ | '''POKRAČOVÁNÍ 2'''<br> | ||
+ | V případě, kdy má router zapnutý IPv6 balíček, je nutné použít minimální verzi 6.43.14 (resp. 6.43.16 která to ještě trochu ladí) nebo 6.44.3 a vyšší. Staré verze jsou náchylné na DoS po IPv6. Viz [https://forum.mikrotik.com/viewtopic.php?f=2&t=147048 Fórum Mikrotik].<br> | ||
+ | Zároveň je nebezpečné provozovat IPv6 na routerboardech s méně než 128 MiB RAM. A i 128 se někdy může ukázat jako málo. | ||
+ | |||
+ | '''POKRAČOVÁNÍ 3'''<br> | ||
+ | Staré linux kernely (od 2.6.29) mají chybu nazvanou SACK panic. Viz [https://www.root.cz/zpravicky/linuxove-jadro-je-mozne-shodit-pomoci-serie-paketu-chyba-je-stara-10-let/ www.root.cz]. Verze ROS 6.40.9, 6.43.16, 6.44.3 (a samozřejmě starší) to opravené nemají (opraveno v 6.45.1).<br> | ||
+ | Lze to naštěstí opravit (resp. velice omezit) jednoduchým pravidlem ve firewallu: | ||
+ | add action=drop chain=input protocol=tcp tcp-flags=syn tcp-mss=0-535 | ||
+ | Přidat nutno někam na začátek, ihned za povolení established,related. Případně úplně na začátek, nebo obdobně jen do RAW tabulky a chainu prerouting. | ||
+ | |||
+ | '''POKRAČOVÁNÍ 4'''<br> | ||
+ | Verze starší než 6.44.6 (nebo 6.45.7) mají chybu jak ve winboxu, tak v DNS serveru. Oboje lze řešit firewallem, ale bez winboxu není mikrotik skoro mikrotikem. Viz [https://blog.mikrotik.com/security/dns-cache-poisoning-vulnerability.html] a [https://www.tenable.com/security/research/tra-2019-46] | ||
+ | |||
+ | ---- | ||
+ | |||
+ | '''Shrnutí:''' | ||
+ | |||
+ | Většinou nelze zjistit, ve které verzi chyba vznikla. Čili ani nelze prohlásit, že je nějaká starší verze bezpečná. | ||
+ | |||
+ | [https://forum.mikrotik.com/viewtopic.php?t=76310 ROSSSH] | ||
+ | Problém SSH serveru, za určitých podmínek (vyvolaných z vnějšku) může spadnout a už nenastartovat. Dle Mikrotiku nijak zvlášť nebezpečná chyba, neboť způsobí jen DoS (odmítnutí služby), ale router nekompromituje. | ||
+ | |||
+ | Opraveno v 5.26 a 6.3 | ||
+ | |||
+ | [https://en.wikipedia.org/wiki/FREAK FREAK vulnerability in SSL&TLS] ([https://www.root.cz/zpravicky/nova-zranitelnost-ssl-tls-nese-nazev-freak/] [https://www.govcert.cz/cs/informacni-servis/hrozby/2267-freak-nova-zranitelnost-ssltls/]) | ||
+ | |||
+ | Opraveno v 6.29 | ||
+ | |||
+ | [https://forum.mikrotik.com/viewtopic.php?f=21&t=119308 CIA Vault 7] [https://blog.mikrotik.com/security/www-vulnerability.html] | ||
+ | Problém se týká http serveru, který je používaný funkcí WebFig (náhrada winboxu). U problematických verzí je to řešitelné zákazem služby v konfiguraci /ip/services. | ||
+ | |||
+ | Opraveno v 6.38.5 a 6.39rc49 | ||
+ | |||
+ | [https://www.systemtek.co.uk/2018/03/mikrotik-routeros-smb-vulnerability-cve-2018-7445/ SMB Vulnerability] | ||
+ | |||
+ | Opraveno 6.41.3 a 6.42.0<br> | ||
+ | Naštěstí SMB používá na ROS asi málokdo. Ochrana je dostatečná prostě zákazem této služby, nebo firewallem. | ||
+ | |||
+ | [https://forum.mikrotik.com/viewtopic.php?f=21&t=126695 WPA2 vulnerabilities] | ||
+ | Problém přímo v návrhu šifrování WPA2, postihuje klienty. Umožňuje odposlech a změnu dat. | ||
+ | |||
+ | Opraveno v 6.39.3, 6.40.4 a 6.41 | ||
+ | |||
+ | [https://forum.mikrotik.com/viewtopic.php?f=21&t=133533 Napadení Winbox] [https://blog.mikrotik.com/security/winbox-vulnerability.html] Jedná se o možnost ovládnutí mikrotiku pomocí administračního nástroje Winbox i bez znalosti hesla (resp. zjištění hesla a následné ovládnutí standardní cestou). A nesmí se zapomenout, že existuje i možnost připojení "na MAC", což lze sice jen z přímo připojené sítě, ale zato to není TCP/IP a netýkají se toho nastavení ip/services. | ||
+ | |||
+ | Vznik problému v 6.29 (tvrdí mikrotik; vlastním výzkumem potvrzena i verze 6.28)<br> | ||
+ | Opraveno v 6.40.8 a 6.42.1 | ||
+ | |||
+ | [https://blog.mikrotik.com/security/security-issues-discovered-by-tenable.html Web server by Tenable] CVE-2018-1156 až 1159 [https://www.tenable.com/security/research/tra-2018-21]. Možnost zboření www serveru. Podmínkou je znalost přihlašovacích údajů (ty mohou být již celosvětově známé kvůli předchozím chybám) a stačí i read-only.<br> | ||
+ | Opraveno v 6.40.9 a 6.42.7 | ||
+ | |||
+ | '''Závěr:''' používání verzí starších než <del>6.40.9 či 6.42.7 (k 25.8.2018) je bohapustý hazard ... vlastně se nelze vyhnout nějaké díře v systému. Snad leda čisté access-pointy (nebo bez wifi) do 6.27.x s vypnutým https/https ...</del> 6.44.6 či 6.45.7 (k 29.10.2019) je hazard.<br> | ||
+ | Začátkem roku 2021 se jeví jako nejlepší 6.46.8, pokud se nepoužívají tunely (ipsec atp.), tak i nejnovější 6.48.1. | ||
+ | |||
+ | ---- | ||
+ | |||
+ | '''Winbox''' [https://mikrotik.com/download] | ||
+ | |||
+ | Také platí nutnost používat nejnovější Winbox.exe. Od verze 3.12 totiž nestahuje žádné DLL knihovny z ROS verze 6.0 a novějších, čili neohrozí správcův počítač. | ||
+ | |||
+ | Verze 3.13 dokonce natvrdo odmítá připojení k ROS starší než 6.x | ||
+ | |||
+ | A verze 3.14 je nutná pro ROS 6.43 a novější, kde se na základě zjištění posledních chyb mění způsob přihlašování (interně; a to včetně API). | ||
+ | |||
+ | A aby toho nebylo málo, už existuje i 3.15 (k 19.6.2018), která opravuje nějaké chybky (vypadá to, že ne moc závažné) se službou RoMON. Ale zase obsahuje jinou chybu, která způsobuje občasné odpojování - opravuje verze 3.17 která vyšla 7.8.2018. | ||
+ | |||
+ | Aktuální k 29.10.2019 je verze 3.20. Opět tam jsou opravené nějaké chyby a je také vydávána 64bit verze.<br> | ||
+ | Začátkem roku 2021 doporučujeme 3.24. |
Aktuální verze z 5. 3. 2021, 00:39
Všechny verze RouterOS (ROS) starší než 6.40.8 jsou ovládnutelné na dálku i bez znalosti hesla (chyba v subsystému Winbox).
Stejně tak verze starší než 6.42.1.
Čili používá-li někdo tzv. bugfix řadu, je nutné minimálně 6.40.9. A pokud už přešel na 6.41 a novější (pozor, tam se mění práce s interním switchem a bridge), tak minimálně 6.42.10.
Jako dočasné řešení lze zakázat winbox na takovém zařízení pomocí volby v menu ip/services. Většinou lze použít webové rozhraní jako náhradu - jenže to v nějaké ne moc vzdálené verzi též trpělo chybou. A to velice podobnou. Tedy upgrade je vlastně jediná správná volba. A následně poté změna hesla na jiné (a bezpečné: [2] [3]).
Trochu matoucí jsou občas objevující se zprávy, že ani zákaz v ip/services nepomáhá. Nikdo neví, jestli to je tento problém, nebo ještě nějaký jiný. A ani výrobcem to nebylo potvrzeno. Není to pravděpodobné, ale pravděpodobnost je vždy větší než nula ...
POKRAČOVÁNÍ
Všechny verze starší než 6.42.7 (s výjimkou 6.40.9) mají opět chyby ve WWW serveru. Čili je nutné buď upgradovat, nebo si http (i https) zakázat v ip/services.
Postup upgrade (převzato z forum.mikrotik.com): 5.26 -> 6.7 -> 6.29 -> 6.40.8 -> 6.42.x.
Po každém upgrade je nutný i upgrade firmware (bios) a další reboot.
Nechte si povolené Neighbors z WAN rozhraní. Nic tajného se tím nepřenáší a dá to šanci dohledovému systému KHnet dohledat problémové routery.
POKRAČOVÁNÍ 2
V případě, kdy má router zapnutý IPv6 balíček, je nutné použít minimální verzi 6.43.14 (resp. 6.43.16 která to ještě trochu ladí) nebo 6.44.3 a vyšší. Staré verze jsou náchylné na DoS po IPv6. Viz Fórum Mikrotik.
Zároveň je nebezpečné provozovat IPv6 na routerboardech s méně než 128 MiB RAM. A i 128 se někdy může ukázat jako málo.
POKRAČOVÁNÍ 3
Staré linux kernely (od 2.6.29) mají chybu nazvanou SACK panic. Viz www.root.cz. Verze ROS 6.40.9, 6.43.16, 6.44.3 (a samozřejmě starší) to opravené nemají (opraveno v 6.45.1).
Lze to naštěstí opravit (resp. velice omezit) jednoduchým pravidlem ve firewallu:
add action=drop chain=input protocol=tcp tcp-flags=syn tcp-mss=0-535
Přidat nutno někam na začátek, ihned za povolení established,related. Případně úplně na začátek, nebo obdobně jen do RAW tabulky a chainu prerouting.
POKRAČOVÁNÍ 4
Verze starší než 6.44.6 (nebo 6.45.7) mají chybu jak ve winboxu, tak v DNS serveru. Oboje lze řešit firewallem, ale bez winboxu není mikrotik skoro mikrotikem. Viz [4] a [5]
Shrnutí:
Většinou nelze zjistit, ve které verzi chyba vznikla. Čili ani nelze prohlásit, že je nějaká starší verze bezpečná.
ROSSSH Problém SSH serveru, za určitých podmínek (vyvolaných z vnějšku) může spadnout a už nenastartovat. Dle Mikrotiku nijak zvlášť nebezpečná chyba, neboť způsobí jen DoS (odmítnutí služby), ale router nekompromituje.
Opraveno v 5.26 a 6.3
FREAK vulnerability in SSL&TLS ([6] [7])
Opraveno v 6.29
CIA Vault 7 [8] Problém se týká http serveru, který je používaný funkcí WebFig (náhrada winboxu). U problematických verzí je to řešitelné zákazem služby v konfiguraci /ip/services.
Opraveno v 6.38.5 a 6.39rc49
Opraveno 6.41.3 a 6.42.0
Naštěstí SMB používá na ROS asi málokdo. Ochrana je dostatečná prostě zákazem této služby, nebo firewallem.
WPA2 vulnerabilities Problém přímo v návrhu šifrování WPA2, postihuje klienty. Umožňuje odposlech a změnu dat.
Opraveno v 6.39.3, 6.40.4 a 6.41
Napadení Winbox [9] Jedná se o možnost ovládnutí mikrotiku pomocí administračního nástroje Winbox i bez znalosti hesla (resp. zjištění hesla a následné ovládnutí standardní cestou). A nesmí se zapomenout, že existuje i možnost připojení "na MAC", což lze sice jen z přímo připojené sítě, ale zato to není TCP/IP a netýkají se toho nastavení ip/services.
Vznik problému v 6.29 (tvrdí mikrotik; vlastním výzkumem potvrzena i verze 6.28)
Opraveno v 6.40.8 a 6.42.1
Web server by Tenable CVE-2018-1156 až 1159 [10]. Možnost zboření www serveru. Podmínkou je znalost přihlašovacích údajů (ty mohou být již celosvětově známé kvůli předchozím chybám) a stačí i read-only.
Opraveno v 6.40.9 a 6.42.7
Závěr: používání verzí starších než 6.40.9 či 6.42.7 (k 25.8.2018) je bohapustý hazard ... vlastně se nelze vyhnout nějaké díře v systému. Snad leda čisté access-pointy (nebo bez wifi) do 6.27.x s vypnutým https/https ... 6.44.6 či 6.45.7 (k 29.10.2019) je hazard.
Začátkem roku 2021 se jeví jako nejlepší 6.46.8, pokud se nepoužívají tunely (ipsec atp.), tak i nejnovější 6.48.1.
Winbox [11]
Také platí nutnost používat nejnovější Winbox.exe. Od verze 3.12 totiž nestahuje žádné DLL knihovny z ROS verze 6.0 a novějších, čili neohrozí správcův počítač.
Verze 3.13 dokonce natvrdo odmítá připojení k ROS starší než 6.x
A verze 3.14 je nutná pro ROS 6.43 a novější, kde se na základě zjištění posledních chyb mění způsob přihlašování (interně; a to včetně API).
A aby toho nebylo málo, už existuje i 3.15 (k 19.6.2018), která opravuje nějaké chybky (vypadá to, že ne moc závažné) se službou RoMON. Ale zase obsahuje jinou chybu, která způsobuje občasné odpojování - opravuje verze 3.17 která vyšla 7.8.2018.
Aktuální k 29.10.2019 je verze 3.20. Opět tam jsou opravené nějaké chyby a je také vydávána 64bit verze.
Začátkem roku 2021 doporučujeme 3.24.