Hlavní navigace

MikroTik má chybu v IPv6 stacku, upravený paket může shodit zařízení

Sdílet

Petr Krčmář
MikroTik

MikroTik má závažnou chybu ve svém operačním systému RouterOS. Speciálně upravený IPv6 paket může zařízení shodit a odpojit tak například síť od internetu. Společnost přitom o chybě ví téměř rok a zatím nezveřejnila žádnou opravu. Navíc už 9. dubna by měly být detaily zveřejněny na konferenci UKNOF.

Zranitelné jsou všechny routery MikroTik, které jsou z některé z připojených sítí dostupné po IPv6. Podle zatím dostupných informací jde o problém s únikem paměti v jádře. Pokud paměť dojde, systém havaruje a poté je případně restartován pomocí hardwarového watchdogu. Firewall prý není schopen zasáhnout, protože vhodně upraven může být libovolný paket. Dokud není přesně znám mechanismus ohrožující jádro, není možné nasadit ani žádné sofistikovanější filtrování.

Jeden z vývojářů MikroTiku se na fóru k problému vyjádřil a potvrdil, že společnost o něm ví a pracuje na jeho nápravě. Jelikož se prý jedná o jaderný problém, je těžké ho opravit. Navíc je v RouterOS verze 6 používáno starší linuxové jádro, které vývojáři nemohou jen tak vyměnit za novější.

Komunita doufá, že MikroTik stihne do oznámení vydat opravenou verzi RouterOS. Je pravděpodobné, že chyba začne být okamžitě zneužívána k DoS útokům na sítě využívající MikroTiky jako hraniční routery. Je také načase, aby IPv6 přestal být v RouterOS protokolem druhé kategorie a dostalo se mu stejné péče jako v případě IPv4.

Našli jste v článku chybu?