Verze Mikrotik

Z KHnetWiki

(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
Řádka 30: Řádka 30:
  add action=drop chain=input protocol=tcp tcp-flags=syn tcp-mss=0-535
  add action=drop chain=input protocol=tcp tcp-flags=syn tcp-mss=0-535
Přidat nutno někam na začátek, ihned za povolení established,related. Případně úplně na začátek, nebo obdobně jen do RAW tabulky a chainu prerouting.
Přidat nutno někam na začátek, ihned za povolení established,related. Případně úplně na začátek, nebo obdobně jen do RAW tabulky a chainu prerouting.
 +
 +
'''POKRAČOVÁNÍ 4'''<br>
 +
Verze starší než 6.44.6 (nebo 6.45.7) mají chybu jak ve winboxu, tak v DNS serveru. Oboje lze řešit firewallem, ale bez winboxu není mikrotik skoro mikrotikem. Viz [https://blog.mikrotik.com/security/dns-cache-poisoning-vulnerability.html] a [https://www.tenable.com/security/research/tra-2019-46]
----
----

Verze z 28. 10. 2019, 23:18

Všechny verze RouterOS (ROS) starší než 6.40.8 jsou ovládnutelné na dálku i bez znalosti hesla (chyba v subsystému Winbox).

Stejně tak verze starší než 6.42.1.

Čili používá-li někdo tzv. bugfix řadu, je nutné minimálně 6.40.9. A pokud už přešel na 6.41 a novější (pozor, tam se mění práce s interním switchem a bridge), tak minimálně 6.42.10.

[1]

Jako dočasné řešení lze zakázat winbox na takovém zařízení pomocí volby v menu ip/services. Většinou lze použít webové rozhraní jako náhradu - jenže to v nějaké ne moc vzdálené verzi též trpělo chybou. A to velice podobnou. Tedy upgrade je vlastně jediná správná volba. A následně poté změna hesla na jiné (a bezpečné: [2] [3]).

Trochu matoucí jsou občas objevující se zprávy, že ani zákaz v ip/services nepomáhá. Nikdo neví, jestli to je tento problém, nebo ještě nějaký jiný. A ani výrobcem to nebylo potvrzeno. Není to pravděpodobné, ale pravděpodobnost je vždy větší než nula ...

POKRAČOVÁNÍ
Všechny verze starší než 6.42.7 (s výjimkou 6.40.9) mají opět chyby ve WWW serveru. Čili je nutné buď upgradovat, nebo si http (i https) zakázat v ip/services.

ROS download

Postup upgrade (převzato z forum.mikrotik.com): 5.26 -> 6.7 -> 6.29 -> 6.40.8 -> 6.42.x.
Po každém upgrade je nutný i upgrade firmware (bios) a další reboot.

Nechte si povolené Neighbors z WAN rozhraní. Nic tajného se tím nepřenáší a dá to šanci dohledovému systému KHnet dohledat problémové routery.

POKRAČOVÁNÍ 2
V případě, kdy má router zapnutý IPv6 balíček, je nutné použít minimální verzi 6.43.14 (resp. 6.43.16 která to ještě trochu ladí) nebo 6.44.3 a vyšší. Staré verze jsou náchylné na DoS po IPv6. Viz Fórum Mikrotik.
Zároveň je nebezpečné provozovat IPv6 na routerboardech s méně než 128 MiB RAM. A i 128 se někdy může ukázat jako málo.

POKRAČOVÁNÍ 3
Staré linux kernely (od 2.6.29) mají chybu nazvanou SACK panic. Viz www.root.cz. Verze ROS 6.40.9, 6.43.16, 6.44.3 (a samozřejmě starší) to opravené nemají (opraveno v 6.45.1).
Lze to naštěstí opravit (resp. velice omezit) jednoduchým pravidlem ve firewallu:

add action=drop chain=input protocol=tcp tcp-flags=syn tcp-mss=0-535

Přidat nutno někam na začátek, ihned za povolení established,related. Případně úplně na začátek, nebo obdobně jen do RAW tabulky a chainu prerouting.

POKRAČOVÁNÍ 4
Verze starší než 6.44.6 (nebo 6.45.7) mají chybu jak ve winboxu, tak v DNS serveru. Oboje lze řešit firewallem, ale bez winboxu není mikrotik skoro mikrotikem. Viz [4] a [5]


Shrnutí:

Většinou nelze zjistit, ve které verzi chyba vznikla. Čili ani nelze prohlásit, že je nějaká starší verze bezpečná.

ROSSSH Problém SSH serveru, za určitých podmínek (vyvolaných z vnějšku) může spadnout a už nenastartovat. Dle Mikrotiku nijak zvlášť nebezpečná chyba, neboť způsobí jen DoS (odmítnutí služby), ale router nekompromituje.

Opraveno v 5.26 a 6.3

FREAK vulnerability in SSL&TLS ([6] [7])

Opraveno v 6.29

CIA Vault 7 [8] Problém se týká http serveru, který je používaný funkcí WebFig (náhrada winboxu). U problematických verzí je to řešitelné zákazem služby v konfiguraci /ip/services.

Opraveno v 6.38.5 a 6.39rc49

SMB Vulnerability

Opraveno 6.41.3 a 6.42.0
Naštěstí SMB používá na ROS asi málokdo. Ochrana je dostatečná prostě zákazem této služby, nebo firewallem.

WPA2 vulnerabilities Problém přímo v návrhu šifrování WPA2, postihuje klienty. Umožňuje odposlech a změnu dat.

Opraveno v 6.39.3, 6.40.4 a 6.41

Napadení Winbox [9] Jedná se o možnost ovládnutí mikrotiku pomocí administračního nástroje Winbox i bez znalosti hesla (resp. zjištění hesla a následné ovládnutí standardní cestou). A nesmí se zapomenout, že existuje i možnost připojení "na MAC", což lze sice jen z přímo připojené sítě, ale zato to není TCP/IP a netýkají se toho nastavení ip/services.

Vznik problému v 6.29 (tvrdí mikrotik; vlastním výzkumem potvrzena i verze 6.28)
Opraveno v 6.40.8 a 6.42.1

Web server by Tenable CVE-2018-1156 až 1159 [10]. Možnost zboření www serveru. Podmínkou je znalost přihlašovacích údajů (ty mohou být již celosvětově známé kvůli předchozím chybám) a stačí i read-only.
Opraveno v 6.40.9 a 6.42.7

Závěr: používání verzí starších než 6.40.9 či 6.42.7 (k 25.8.2018) je bohapustý hazard ... vlastně se nelze vyhnout nějaké díře v systému. Snad leda čisté access-pointy (nebo bez wifi) do 6.27.x s vypnutým https/https ...


Winbox

Také platí nutnost používat nejnovější Winbox.exe. Od verze 3.12 totiž nestahuje žádné DLL knihovny z ROS verze 6.0 a novějších, čili neohrozí správcův počítač.

Verze 3.13 dokonce natvrdo odmítá připojení k ROS starší než 6.x

A verze 3.14 je nutná pro ROS 6.43 a novější, kde se na základě zjištění posledních chyb mění způsob přihlašování (interně; a to včetně API).

A aby toho nebylo málo, už existuje i 3.15 (k 19.6.2018), která opravuje nějaké chybky (vypadá to, že ne moc závažné) se službou RoMON. Ale zase obsahuje jinou chybu, která způsobuje občasné odpojování - opravuje verze 3.17 která vyšla 7.8.2018.

Osobní nástroje