Actualización de RouterOS ante vulnerabilidades de IPv6 encontradas.
Acaloradas discusiones se están dando en el foro de MikroTik en el hilo donde se esta hablando sobre las vulnerabilidades de IPv6 que tiene la implementación en RouterOS.
Las mismas fueron descubiertas por Marek, un ingeniero en redes, hace mas de un año, pero han tomado relevancia en los últimos días; el motivo es que el 9 de Abril se celebrará en el Reino Unido la UKNOF43, un evento que reúne a los operadores de redes del mundo y será allí donde Marek hable del tema y haga publicas las vulnerabilidades y como se explotan.
Según se sabe, MikroTik tiene conocimiento de las mismas desde el 20-04-2018, de cómo se ataca, qué comandos utilizar y el diagrama de red para poder explotarla; de hecho, éste último fue publicado en la cuenta de Twitter de Marek:
CVE-2018-19299 #notfixed I'm afraid… https://t.co/Q5IcQCygiB pic.twitter.com/yhIjTdVfF4
— Marek Isalski (marek@toot.host) (@maznu) 29 de marzo de 2019
En la acalorada discusión del foro, también se hizo presente el descubridor de la vulnerabilidad del «Ping de la Muerte» y comenta como se contacto con SUN y Microsoft para solucionar el mismo.
MikroTik ha publicado hoy día la versión del RouterOS v6.45beta22, en donde el changelog indica que fueron solucionados los dos CVE en cuestión:
!) ipv6 – fixed soft lockup when forwarding IPv6 packets (CVE-2018-19299);
!) ipv6 – fixed soft lockup when processing large IPv6 Neighbor table (CVE-2018-19298);
Lamentablemente, según muestra Marek en un video de Youtube, aún es posible crashear un router explotando la CVE-2018-19229.
Hasta tanto liberen la próxima versión, Normis de MikroTik, ha compartido un par de reglas de firewall que mitigarían la situación, pero está en discusión su efectividad.
admin@MikroTik] /ipv6 firewall> export
/ipv6 firewall filter
add action=drop chain=forward connection-mark=drop connection-state=new
/ipv6 firewall mangle
add action=accept chain=prerouting connection-state=new dst-address=\
2001:db8:3::/64 limit=2,5:packet
add action=mark-connection chain=prerouting connection-state=new dst-address=\
2001:db8:3::/64 new-connection-mark=drop passthrough=yesReplace 2001:db8:3::/64 with your network.
Al parecer, a medida que la fecha límite se acerca, no se ve una solución final para este problema, debido a que el arreglo a realizar es en el Kernel, a muy bajo nivel. El solucionar ésta vulnerabilidad, requiere de grandes cambios a nivel de la implementación de IPv6 que tiene MikroTik y todo esto se debe realizar sin romper nada y que las demás funcionalidades / protocolos continúen trabajando.
Estaremos publicando por nuestras redes sociales cualquier novedad al respecto.