[脆弱性] CVE-2019–3924 Dude agent vulnerabilityについて

2019-02-28 16:32Blog, Info

2月21日付でTenableから、RouterOSのWinboxポートを使用した、脆弱性情報が公表されたそうです。

Tenableの記事については以下の通り。

MikroTik RouterOS Unauthenticated Intermediary – Research Advisory | Tenable®

基本的なFirewallルールが設定されている場合は問題ないそうです。また、この脆弱性はRouteOS自体の脆弱性ではないとのことです。

On February 21, Tenable published a new CVE, describing a vulnerability, which allows to proxy a TCP/UDP request through the routers Winbox port, if it’s open to the internet. Tenable had previously contacted MikroTik about this issue, so a fix has already been released on February 11, 2019 in all RouterOS release channels.

The issue does not affect RouterBOARD devices with default configuration, if the “Firewall router” checkbox was left enabled. The issue DOES NOT pose any risk to the router itself, file system is not vulnerable, the issue only allows redirection of connections if port is open. Device itself is safe.

以下のバージョン以降はこの脆弱性についての対応がされているとのことです。

  • 6.43.12 (2019-02-11 14:39) -> stable(既に6.44がリリースされています)
  • 6.44beta75 (2019-02-11 15:26)  -> testing
  • 6.42.12 (2019-02-12 11:46) -> long-term

/IP SERVICE の下にある、Winboxでの設定がされているのか念のためご確認ください。

> /ip service print
Flags: X - disabled, I - invalid
 #   NAME                   PORT ADDRESS                                                     CERTIFICATE                
 0 XI telnet                   23
 1 XI ftp                      21 192.168.88.0/24
 2   www                      80 192.168.88.0/24
 3   ssh                      22 192.168.88.0/24
 4 XI www-ssl                 443                                                             none
 5 XI api                    8728
 6   winbox                 8291 192.168.88.0/24
 7 XI api-ssl                8729                                                             none
> /ip service export
# feb/28/2019 16:30:04 by RouterOS 6.44rc4
# software id = IFLW-EM30
#
# model = CCR1009-8G-1S-1S+
# serial number = 
/ip service
set telnet disabled=yes
set ftp address=192.168.88.0/24 disabled=yes
set www address=192.168.8.0/24
set ssh address=192.168.88.0/24
set api disabled=yes
set winbox address=192.168.88.0/24
set api-ssl disabled=yes

不要であれば閉じておくのが一番だと思います。