RouterOS містить вразливість, що дозволяє віддалено викликати збій у роботі пристроїв MikroTik
RouterOS містить вразливість, що дозволяє віддалено викликати збій у роботі пристроїв MikroTik
Латвійський виробник мережного обладнання MikroTik розкрив подробиці про вразливість, що дозволяє віддалено викликати збій у роботі пристроїв, що працюють на базі ОС RouterOS (більшість продукції компанії).
Проблема (CVE-2018-19299) виявляється на пристроях MikroTik із включеною підтримкою протоколу IPv6. Для того щоб вивести з ладу маршрутизатор, атакуючому потрібно лише відправити спеціально сформовані IPv6 пакети, що призводять до підвищеного використання ОЗУ.
Відповідно до пояснення вендора, перевитрата ресурсів відбувається у зв'язку з тим, що розмір кешу IPv6 може перевищувати обсяг ОЗП. Для вирішення проблеми виробник додав у нові версії RouterOS (v6.44.2 та v6.43.14) можливість обчислювати розмір кешу на підставі доступної пам'яті на пристрої. Однак, за ствердженням фахівця компанії Faelix, який виявив вразливість, це рішення працює тільки на пристроях з об'ємом ОЗУ більше 64 МБ.
Спеціаліст повідомив MikroTik про багу в середині квітня минулого року. У компанії визнали наявність уразливості, але не вважали її «проблемою безпеки». Тим не менш, з минулого квітня виробник випустив понад 20 версій RouterOS, що усувають неполадку. Однією з основних причин релізу такої великої кількості версій є той факт, що вразливість на рівні ядра і виправити її досить складно. Як пояснив співробітник служби техпідтримки компанії, у RouterOS v6 реалізована застаріла версія ядра, яку неможливо змінити.
Очікується, що виправлення для обладнання з невеликим обсягом ОЗУ буде додано до наступної бета-версії RouterOS, терміни релізу якої поки не повідомляються.
