Verze Mikrotik
Z KHnetWiki
Všechny verze RouterOS (ROS) starší než 6.40.8 jsou ovládnutelné na dálku i bez znalosti hesla (chyba v subsystému Winbox).
Stejně tak verze starší než 6.42.1.
Čili používá-li někdo tzv. bugfix řadu, je nutné minimálně 6.40.9. A pokud už přešel na 6.41 a novější (pozor, tam se mění práce s interním switchem a bridge), tak minimálně 6.42.10.
Jako dočasné řešení lze zakázat winbox na takovém zařízení pomocí volby v menu ip/services. Většinou lze použít webové rozhraní jako náhradu - jenže to v nějaké ne moc vzdálené verzi též trpělo chybou. A to velice podobnou. Tedy upgrade je vlastně jediná správná volba. A následně poté změna hesla na jiné (a bezpečné: [2] [3]).
Trochu matoucí jsou občas objevující se zprávy, že ani zákaz v ip/services nepomáhá. Nikdo neví, jestli to je tento problém, nebo ještě nějaký jiný. A ani výrobcem to nebylo potvrzeno. Není to pravděpodobné, ale pravděpodobnost je vždy větší než nula ...
POKRAČOVÁNÍ
Všechny verze starší než 6.42.7 (s výjimkou 6.40.9) mají opět chyby ve WWW serveru. Čili je nutné buď upgradovat, nebo si http (i https) zakázat v ip/services.
Postup upgrade (převzato z forum.mikrotik.com): 5.26 -> 6.7 -> 6.29 -> 6.40.8 -> 6.42.x.
Po každém upgrade je nutný i upgrade firmware (bios) a další reboot.
Nechte si povolené Neighbors z WAN rozhraní. Nic tajného se tím nepřenáší a dá to šanci dohledovému systému KHnet dohledat problémové routery.
POKRAČOVÁNÍ 2
V případě, kdy má router zapnutý IPv6 balíček, je nutné použít minimální verzi 6.43.14 (resp. 6.43.16 která to ještě trochu ladí). Staré verze jsou náchylné na DoS po IPv6. Viz Fórum Mikrotik.
Shrnutí:
Většinou nelze zjistit, ve které verzi chyba vznikla. Čili ani nelze prohlásit, že je nějaká starší verze bezpečná.
ROSSSH Problém SSH serveru, za určitých podmínek (vyvolaných z vnějšku) může spadnout a už nenastartovat. Dle Mikrotiku nijak zvlášť nebezpečná chyba, neboť způsobí jen DoS (odmítnutí služby), ale router nekompromituje.
Opraveno v 5.26 a 6.3
FREAK vulnerability in SSL&TLS ([4] [5])
Opraveno v 6.29
CIA Vault 7 [6] Problém se týká http serveru, který je používaný funkcí WebFig (náhrada winboxu). U problematických verzí je to řešitelné zákazem služby v konfiguraci /ip/services.
Opraveno v 6.38.5 a 6.39rc49
Opraveno 6.41.3 a 6.42.0
Naštěstí SMB používá na ROS asi málokdo. Ochrana je dostatečná prostě zákazem této služby, nebo firewallem.
WPA2 vulnerabilities Problém přímo v návrhu šifrování WPA2, postihuje klienty. Umožňuje odposlech a změnu dat.
Opraveno v 6.39.3, 6.40.4 a 6.41
Napadení Winbox [7] Jedná se o možnost ovládnutí mikrotiku pomocí administračního nástroje Winbox i bez znalosti hesla (resp. zjištění hesla a následné ovládnutí standardní cestou). A nesmí se zapomenout, že existuje i možnost připojení "na MAC", což lze sice jen z přímo připojené sítě, ale zato to není TCP/IP a netýkají se toho nastavení ip/services.
Vznik problému v 6.29 (tvrdí mikrotik; vlastním výzkumem potvrzena i verze 6.28)
Opraveno v 6.40.8 a 6.42.1
Web server by Tenable CVE-2018-1156 až 1159 [8]. Možnost zboření www serveru. Podmínkou je znalost přihlašovacích údajů (ty mohou být již celosvětově známé kvůli předchozím chybám) a stačí i read-only.
Opraveno v 6.40.9 a 6.42.7
Závěr: používání verzí starších než 6.40.9 či 6.42.7 (k 25.8.2018) je bohapustý hazard ... vlastně se nelze vyhnout nějaké díře v systému. Snad leda čisté access-pointy (nebo bez wifi) do 6.27.x s vypnutým https/https ...
Winbox
Také platí nutnost používat nejnovější Winbox.exe. Od verze 3.12 totiž nestahuje žádné DLL knihovny z ROS verze 6.0 a novějších, čili neohrozí správcův počítač.
Verze 3.13 dokonce natvrdo odmítá připojení k ROS starší než 6.x
A verze 3.14 je nutná pro ROS 6.43 a novější, kde se na základě zjištění posledních chyb mění způsob přihlašování (interně; a to včetně API).
A aby toho nebylo málo, už existuje i 3.15 (k 19.6.2018), která opravuje nějaké chybky (vypadá to, že ne moc závažné) se službou RoMON. Ale zase obsahuje jinou chybu, která způsobuje občasné odpojování - opravuje verze 3.17 která vyšla 7.8.2018.