首页 > 清静研究 > 清静转达 > 清静通告

MikroTik RouterOS身份认证缺失误差清静通告

宣布时间 2019-03-20

误差编号和级别

CVE编号：CVE-2019-3924，危险级别：高危， CVSS分值：7.5

影响规模

受影响版本：

MikroTik RouterOS <V6.43.12 (stable)以及<V6.42.12 (long-term)

误差概述

MikroTik RouterOS是MikroTik公司（总部位于拉脱维亚）基于Linux内核开发的一种路由操作系统，通过装置该系统可将标准的x86 PC装备酿成专业路由器，具备无线、认证、战略路由、带宽控制和防火墙过滤等功效。

清静研究职员发明，MikroTik RouterOS 6.43.12 (stable) 以及6.42.12 (long-term)之前的版本保存未经认证可绕过防火墙会见NAT内部网络的误差。剖析批注，该误差是MikroTik装备未对网络探针举行强制身份认证造成的，未经身份验证的攻击者可使用此误差绕过路由器的防火墙，并举行内部网络扫描运动。

阻止目今，发明大宗袒露在互联网上的相关装备，详细信息见下图一、二。

尊龙凯时·(中国区)人生就是搏!

图一海内袒露在互联网的该误差相关网络资产信息

尊龙凯时·(中国区)人生就是搏!

图二海内袒露在互联网的该误差相关网络资产漫衍图

修复建议

现在厂商已宣布解决上述误差的清静防护步伐，建议相关用户实时检查更新。

详情请关注厂商网站的相关信息：https://mikrotik.com/download。

别的，建议相关用户应接纳的其他清静防护步伐如下：

（1）最大限度地镌汰所有系统装备和系统的网络袒露，并确保无法从Internet会见。

（2）定位防火墙防护的控制系统网络和远程装备，并将其与营业网络隔离。

（3）当需要远程会见时，请使用清静要领如虚拟专用网络（VPN），要熟悉到VPN可能保存的误差，需将VPN更新到最新版本。

参考链接

http://www.cnvd.org.cn/flaw/show/CNVD-2019-05572

https://nvd.nist.gov/vuln/detail/CVE-2019-3924#vulnCurrentDescriptionTitle

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系