Эксперты в области информационной безопасности обнаружили очередную уязвимость в устройствах линейки MikroTik, пишет Geektimes. Используя уязвимость можно на 100 процентов загрузить ЦП RouterOS, отправляя множество TCP RST пакетов на порт 8291, который по дефолту используется Winbox"ом.
Доступ к этому порту закрыт фаерволом, но если его открывали для управления устройствами через интернет, необходимо в кратчайшие сроки сменить порт или прописать разрешения на доступ к порту winbox только для определенных ip.
Судя по всему, уязвимости подвержены как аппаратные устройства, так и виртуальные CHR. Тестированием уязвимость была подтверждена на устройствах RB751, hEX lite, RB951, RB2011, CCR1036, RB3011.
В MikroTik рекомендуют отключить меню Ip service, сменить стандартные порты, использовать маршрутизатор и разрешить доступ к этим сервисам только из внутренней сети или vpn-соединение на стороннем устройстве. Как вариант, стоит приобрести более производительный роутер.
Материал:
Эксперты в области информационной безопасности обнаружили очередную уязвимость в устройствах линейки MikroTik. Злоумышленник, используя этот баг, сможет провести DOS-атаку на устройства, полностью загрузив ЦП RouterOS.
Полный текст
С разморозкой Вас.
Не суть важно хоть на порт винбокса, хоть на ssh, устройство при определенном потоке ложится, ожидаемо ложится.
Так это уже старая новость.
И чем это отличается от 100% загрузки cpu при брутфорсе ssh?
http://forum.nag.ru/forum/index.php?showtopic=129064 - не зная что надо искать данную информацию здесь создал тему в "профильном" разделе форума.
Решение "купите более производительный маршрутизатор" радует, с учетом того что хомячек со 100 мбитным включением ложит микротик на многоядерном Xeon'е...