RouterOS содержит уязвимость, позволяющую удаленно вызвать сбой в работе устройств MikroTik

Латвийский производитель сетевого оборудования MikroTik раскрыл подробности об уязвимости, позволяющей удаленно вызвать сбой в работе устройств, работающих на базе ОС RouterOS (большая часть продукции компании).

Проблема (CVE-2018-19299) проявляется на устройствах MikroTik с включенной поддержкой протокола IPv6. Для того чтобы вывести из строя маршрутизатор, атакующему потребуется всего лишь отправить специально сформированные IPv6 пакеты, приводящие к повышенному использованию ОЗУ.

Согласно пояснению вендора, перерасход ресурсов происходит в связи с тем, что размер кэша IPv6 может превышать объем ОЗУ. Для решения проблемы производитель добавил в новые версии RouterOS (v6.44.2 и v6.43.14) возможность вычислять размер кэша на основании доступной памяти на устройстве. Однако, по утверждению специалиста компании Faelix, обнаружившего уязвимость, данное решение работает только на устройствах с объемом ОЗУ более 64 МБ.

Специалист сообщил MikroTik о баге в середине апреля минувшего года. В компании признали наличие уязвимости, но не посчитали ее «проблемой безопасности». Тем не менее, с минувшего апреля производитель выпустил более 20 версий RouterOS, устраняющих неполадку. Одной из основных причин релиза столь большого количества версий является тот факт, что уязвимость находится на уровне ядра и исправить ее довольно сложно. Как пояснил сотрудник службы техподдержки компании, в RouterOS v6 реализована устаревшая версия ядра, которую невозможно изменить.

Ожидается, что исправления для оборудования с небольшим объемом ОЗУ будут добавлены в следующую бета-версию RouterOS, сроки релиза которой пока не сообщаются.