2月21日付でTenableから、RouterOSのWinboxポートを使用した、脆弱性情報が公表されたそうです。
Tenableの記事については以下の通り。
基本的なFirewallルールが設定されている場合は問題ないそうです。また、この脆弱性はRouteOS自体の脆弱性ではないとのことです。
On February 21, Tenable published a new CVE, describing a vulnerability, which allows to proxy a TCP/UDP request through the routers Winbox port, if it’s open to the internet. Tenable had previously contacted MikroTik about this issue, so a fix has already been released on February 11, 2019 in all RouterOS release channels.
The issue does not affect RouterBOARD devices with default configuration, if the “Firewall router” checkbox was left enabled. The issue DOES NOT pose any risk to the router itself, file system is not vulnerable, the issue only allows redirection of connections if port is open. Device itself is safe.
以下のバージョン以降はこの脆弱性についての対応がされているとのことです。
- 6.43.12 (2019-02-11 14:39) -> stable(既に6.44がリリースされています)
- 6.44beta75 (2019-02-11 15:26) -> testing
- 6.42.12 (2019-02-12 11:46) -> long-term
/IP SERVICE の下にある、Winboxでの設定がされているのか念のためご確認ください。
> /ip service print Flags: X - disabled, I - invalid # NAME PORT ADDRESS CERTIFICATE 0 XI telnet 23 1 XI ftp 21 192.168.88.0/24 2 www 80 192.168.88.0/24 3 ssh 22 192.168.88.0/24 4 XI www-ssl 443 none 5 XI api 8728 6 winbox 8291 192.168.88.0/24 7 XI api-ssl 8729 none
> /ip service export # feb/28/2019 16:30:04 by RouterOS 6.44rc4 # software id = IFLW-EM30 # # model = CCR1009-8G-1S-1S+ # serial number = /ip service set telnet disabled=yes set ftp address=192.168.88.0/24 disabled=yes set www address=192.168.8.0/24 set ssh address=192.168.88.0/24 set api disabled=yes set winbox address=192.168.88.0/24 set api-ssl disabled=yes
不要であれば閉じておくのが一番だと思います。
