Omijanie reguł zapory w routerach Mikrotik

Firma Tenable informuje o odkryciu podatności w firmware RouterOS łotewskiego producenta Mikrotik. Luka CVE-2019-3924 umożliwia wysyłanie pakietów TCP oraz UDP przez port służący do zarządzenia Winbox. Problem związany jest z przekierowywaniem połączeń. Sam port jednak musi być “otwarty”, co wymaga zmiany konfiguracji właśnie poprzez jego opcję “Firewall router”, gdzie decydujemy o “wystawieniu” na świat routera.

Podatność została już załatana. Router to bardzo ważny punkt bezpieczeństwa każdej infrastruktury. Należy zadbać o aktualność oprogramowania układowego, a jeśli nasz sprzęt nie otrzymuje już aktualizacji, warto zastanowić się nad zainstalowaniem w nim OpenWRT, który w dodatku obsługuje połączenia VPN, dzięki czemu cała komunikacja sieciowa będzie szyfrowana i anonimowa.

W notatce opublikowanej przez Tenable znajdziemy PoC i gotowy exploit napisany w języku Python. Pobiera on adres IP routera oraz port i wysyła mu pakiety, po czym informuje o poprawnym przebiegu ataku. Kod i wykonanie ataku jest bardzo proste, dlatego popularne w Polsce routery Mikrotik powinny zostać zaktualizowane. Autorzy określają poziom zagrożenia jako “średni”, prawdopodobnie dlatego, że dotyczy jedynie routerów z “wystawionym” na świat Winbox.

Błędy w routerach zdarzały się i wciąż będą występować. Mikrotik słynie z długiego wsparcia dla swoich urządzeń. Niemniej jednak w ubiegłym roku byliśmy świadkami dwóch poważnych podatności dotyczących zdalnego wykonania kodu na urządzeniu Mikrotik oraz Winboxa.

-mg