به گزارش ماهر، شرکت MikroTik بار دیگر از وجود نقصی در مسیریابهای خود خبر داد. این شرکت در هفتهی اول ماه آوریل سال ۲۰۱۹، جزئیات فنی مربوط به یک آسیبپذیری قدیمی که دستگاه را به مهاجمان راه دور نشان میدهد، منتشر ساخته است.
مهاجمان میتوانند از این آسیبپذیری برای راهاندازی یک حالت انکار سرویس (DoS) در دستگاههایی که RouterOS را اجرا میکنند، سوءاستفاده کنند. RouterOS حاوی چندین مشکل خستهشدن بیش از اندازهی منبع مربوط به IPv6 است که در حال حاضر برطرف شدهاند.
اولین مسئله باعث میشود در صورتی که ترافیک به سمت تعداد زیادی آدرس مقصد مختلف، تعیین مسیر شود، دستگاه مجدداً راهاندازی شود. این راهاندازیهای مجدد توسط یک تایمر نگهبان (watchdog) دایماً تکرار و در نتیجه منجر به به بارگیری بیش از اندازه و توقف پاسخگویی دستگاه میشوند.
بهروزرسانیهای امنیتی برای RouterOS منتشر شده است که این نقص (CVE-2018-19299) را برطرف میسازد؛ اما به گفتهی کارشناسان، برخی از دستگاههای متأثر همچنان آسیبپذیر هستند.
آسیبپذیری CVE-2018-19299، دستگاههای وصلهنشدهی Mikro Tik را که مسیر بستههای IPv6 را تعیین میکنند، تحتتأثیر قرار میدهد. مهاجم میتواند با ارسال یک دنبالهی خاص از بستههای IPv6 که استفاده از RAM را اشباع میسازد، از این نقص سوء استفاده کند.
پس از رفع نقص مربوط به راهاندازی مجدد، مسئلهی دیگری باعث پرشدن حافظه میشود، زیرا اندازهی کش مسیر IPv6 میتواند بزرگتر از RAM موجود باشد. این مشکل نیز با محاسبهی خودکار اندازهی کش بر اساس حافظهی موجود، رفع شده است.
MikroTik این آسیبپذیریها را در نسخههای RouterOS که در ماه آوریل سال ۲۰۱۹ منتشر شدهاند (تمامی زنجیرههای انتشار: RouterOSv6.44.2، RouterOS v6.45beta23 و RouterOSv6.43.14)، برطرف ساخته است.
مهاجمان میتوانند از این آسیبپذیری برای راهاندازی یک حالت انکار سرویس (DoS) در دستگاههایی که RouterOS را اجرا میکنند، سوءاستفاده کنند. RouterOS حاوی چندین مشکل خستهشدن بیش از اندازهی منبع مربوط به IPv6 است که در حال حاضر برطرف شدهاند.
اولین مسئله باعث میشود در صورتی که ترافیک به سمت تعداد زیادی آدرس مقصد مختلف، تعیین مسیر شود، دستگاه مجدداً راهاندازی شود. این راهاندازیهای مجدد توسط یک تایمر نگهبان (watchdog) دایماً تکرار و در نتیجه منجر به به بارگیری بیش از اندازه و توقف پاسخگویی دستگاه میشوند.
بهروزرسانیهای امنیتی برای RouterOS منتشر شده است که این نقص (CVE-2018-19299) را برطرف میسازد؛ اما به گفتهی کارشناسان، برخی از دستگاههای متأثر همچنان آسیبپذیر هستند.
آسیبپذیری CVE-2018-19299، دستگاههای وصلهنشدهی Mikro Tik را که مسیر بستههای IPv6 را تعیین میکنند، تحتتأثیر قرار میدهد. مهاجم میتواند با ارسال یک دنبالهی خاص از بستههای IPv6 که استفاده از RAM را اشباع میسازد، از این نقص سوء استفاده کند.
پس از رفع نقص مربوط به راهاندازی مجدد، مسئلهی دیگری باعث پرشدن حافظه میشود، زیرا اندازهی کش مسیر IPv6 میتواند بزرگتر از RAM موجود باشد. این مشکل نیز با محاسبهی خودکار اندازهی کش بر اساس حافظهی موجود، رفع شده است.
MikroTik این آسیبپذیریها را در نسخههای RouterOS که در ماه آوریل سال ۲۰۱۹ منتشر شدهاند (تمامی زنجیرههای انتشار: RouterOSv6.44.2، RouterOS v6.45beta23 و RouterOSv6.43.14)، برطرف ساخته است.