Verze Mikrotik
Z KHnetWiki
Řádka 28: | Řádka 28: | ||
Opraveno v 6.29 | Opraveno v 6.29 | ||
- | [https://forum.mikrotik.com/viewtopic.php?f=21&t=119308 CIA Vault 7] | + | [https://forum.mikrotik.com/viewtopic.php?f=21&t=119308 CIA Vault 7] [https://blog.mikrotik.com/security/www-vulnerability.html] |
Problém se týká http serveru, který je používaný funkcí WebFig (náhrada winboxu). U problematických verzí je to řešitelné zákazem služby v konfiguraci /ip/services. | Problém se týká http serveru, který je používaný funkcí WebFig (náhrada winboxu). U problematických verzí je to řešitelné zákazem služby v konfiguraci /ip/services. | ||
Řádka 43: | Řádka 43: | ||
Opraveno v 6.39.3, 6.40.4 a 6.41 | Opraveno v 6.39.3, 6.40.4 a 6.41 | ||
- | [https://forum.mikrotik.com/viewtopic.php?f=21&t=133533 Napadení Winbox] Jedná se o možnost ovládnutí mikrotiku pomocí administračního nástroje Winbox i bez znalosti hesla. A nesmí se zapomenout, že existuje i možnost připojení "na MAC", což lze sice jen z přímo připojené sítě, ale zato to není TCP/IP a netýkají se toho nastavení ip/services. | + | [https://forum.mikrotik.com/viewtopic.php?f=21&t=133533 Napadení Winbox] [https://blog.mikrotik.com/security/winbox-vulnerability.html] Jedná se o možnost ovládnutí mikrotiku pomocí administračního nástroje Winbox i bez znalosti hesla. A nesmí se zapomenout, že existuje i možnost připojení "na MAC", což lze sice jen z přímo připojené sítě, ale zato to není TCP/IP a netýkají se toho nastavení ip/services. |
Vznik problému v 6.29 (tvrdí mikrotik; vlastním výzkumem potvrzena i verze 6.28)<br> | Vznik problému v 6.29 (tvrdí mikrotik; vlastním výzkumem potvrzena i verze 6.28)<br> |
Verze z 24. 7. 2018, 17:37
Všechny verze RouterOS (ROS) starší než 6.40.8 jsou ovládnutelné na dálku i bez znalosti hesla (chyba v subsystému Winbox).
Stejně tak verze starší než 6.42.1.
Čili používá-li někdo tzv. bugfix řadu, je nutné minimálně 6.40.8. A pokud už přešel na 6.41 a novější (pozor, tam se mění práce s interním switchem a bridge), tak minimálně 6.42.1.
Jako dočasné řešení lze zakázat winbox na takovém zařízení pomocí volby v menu ip/services. Většinou lze použít webové rozhraní jako náhradu - jenže to v nějaké ne moc vzdálené verzi též trpělo chybou. A to velice podobnou. Tedy upgrade je vlastně jediná správná volba.
Trochu matoucí jsou občas objevující se zprávy, že ani zákaz v ip/services nepomáhá. Nikdo neví, jestli to je tento problém, nebo ještě nějaký jiný. A ani výrobcem to nebylo potvrzeno. Není to pravděpodobné, ale pravděpodobnost je vždy větší než nula ...
Shrnutí:
Většinou nelze zjistit, ve které verzi chyba vznikla. Čili ani nelze prohlásit, že je nějaká starší verze bezpečná.
ROSSSH Problém SSH serveru, za určitých podmínek (vyvolaných z vnějšku) může spadnout a už nenastartovat. Dle Mikrotiku nijak zvlášť nebezpečná chyba, neboť způsobí jen DoS (odmítnutí služby), ale router nekompromituje.
Opraveno v 5.26 a 6.3
FREAK vulnerability in SSL&TLS ([2] [3])
Opraveno v 6.29
CIA Vault 7 [4] Problém se týká http serveru, který je používaný funkcí WebFig (náhrada winboxu). U problematických verzí je to řešitelné zákazem služby v konfiguraci /ip/services.
Opraveno v 6.38.5 a 6.39rc49
Opraveno 6.41.3 a 6.42.0
Naštěstí SMB používá na ROS asi málokdo. Ochrana je dostatečná prostě zákazem této služby, nebo firewallem.
WPA2 vulnerabilities Problém přímo v návrhu šifrování WPA2, postihuje klienty. Umožňuje odposlech a změnu dat.
Opraveno v 6.39.3, 6.40.4 a 6.41
Napadení Winbox [5] Jedná se o možnost ovládnutí mikrotiku pomocí administračního nástroje Winbox i bez znalosti hesla. A nesmí se zapomenout, že existuje i možnost připojení "na MAC", což lze sice jen z přímo připojené sítě, ale zato to není TCP/IP a netýkají se toho nastavení ip/services.
Vznik problému v 6.29 (tvrdí mikrotik; vlastním výzkumem potvrzena i verze 6.28)
Opraveno v 6.40.8 a 6.42.1
Závěr: používání verzí starších než 6.40.8 či 6.42.3 (k 24.5.2018) je bohapustý hazard ... vlastně se nelze vyhnout nějaké díře v systému. Snad leda čisté access-pointy (nebo bez wifi) do 6.28.x s vypnutým https/https ...
Winbox
Také platí nutnost používat nejnovější Winbox.exe. Od verze 3.12 totiž nestahuje žádné DLL knihovny z ROS verze 6.0 a novějších, čili neohrozí správcův počítač.
Verze 3.13 dokonce natvrdo odmítá připojení k ROS starší než 6.x
A verze 3.14 je nutná pro ROS 6.43 a novější, kde se na základě zjištění posledních chyb mění způsob přihlašování (interně; a to včetně API).
A aby toho nebylo málo, už existuje i 3.15 (k 19.6.2018), která opravuje nějaké chybky (vypadá to, že ne moc závažné) se službou RoMON.