Krytyczna podatność w Mikrotikach – łatajcie ASAP

Udostępniono patcha na krytyczną podatność, umożliwiającą zdalny, nieautoryzowany dostęp do urządzenia (poprzez Winbox). Problem dotyka systemy w wersjach od 6.29 do 6.43rc3.

Jako wstępny workaround podano następujące rozwiązanie:

If your Winbox port is open to untrusted networks, assume that you are affected and upgrade + change password + add firewall.

Podatność załatano w wersjach OS: 6.42.1 oraz 6.43rc4. Producent Mikrotika zaleca też nieudostępnianie do Internetu portu usługi Winbox; przy okazji warto też zmienić swoje hasła dostępowe do urządzeń.

W cytowanym poście znajdziemy informację o tym, że bez uwierzytelnienia można pobrać bazę użytkowników, a w bazie znajdziemy hasła zapisane w plaintext:

This implies at minimum that the user database file not only contains actual passwords (instead of hashes) but keeps those passwords in the clear or very close to it. Both practices are almost unheard of in modern security practices!

Ta ostatnia informacja nie jest jeszcze sprawdzona, zapewne w najbliższym czasie pojawią się aktualizacje.

–ms