首页 > 清静研究 > 清静转达 > 清静通告

MikroTik RouterOS身份认证缺失误差清静通告

宣布时间 2019-03-20

误差编号和级别

CVE编号：CVE-2019-3924，，，，，危险级别：高危，，，，， CVSS分值：7.5

影响规模

受影响版本：

MikroTik RouterOS <V6.43.12 (stable)以及<V6.42.12 (long-term)

误差概述

MikroTik RouterOS是MikroTik公司（总部位于拉脱维亚）基于Linux内核开发的一种路由操作系统，，，，，通过装置该系统可将标准的x86 PC装备酿成专业路由器，，，，，具备无线、认证、战略路由、带宽控制和防火墙过滤等功效。。。。。。。

清静研究职员发明，，，，，MikroTik RouterOS 6.43.12 (stable) 以及6.42.12 (long-term)之前的版本保存未经认证可绕过防火墙会见NAT内部网络的误差。。。。。。。剖析批注，，，，，该误差是MikroTik装备未对网络探针举行强制身份认证造成的，，，，，未经身份验证的攻击者可使用此误差绕过路由器的防火墙，，，，，并举行内部网络扫描活动。。。。。。。

阻止目今，，，，，发明大宗袒露在互联网上的相关装备，，，，，详细信息见下图一、二。。。。。。。

918博天堂(中国游)最新官方网站

图一海内袒露在互联网的该误差相关网络资产信息

918博天堂(中国游)最新官方网站

图二海内袒露在互联网的该误差相关网络资产漫衍图

修复建议

现在厂商已宣布解决上述误差的清静防护步伐，，，，，建议相关用户实时检查更新。。。。。。。

详情请关注厂商网站的相关信息：https://mikrotik.com/download。。。。。。。

别的，，，，，建议相关用户应接纳的其他清静防护步伐如下：

（1）最大限度地镌汰所有系统装备和系统的网络袒露，，，，，并确保无法从Internet会见。。。。。。。

（2）定位防火墙防护的控制系统网络和远程装备，，，，，并将其与营业网络隔离。。。。。。。

（3）当需要远程会见时，，，，，请使用清静要领如虚拟专用网络（VPN），，，，，要熟悉到VPN可能保存的误差，，，，，需将VPN更新到最新版本。。。。。。。

参考链接

http://www.cnvd.org.cn/flaw/show/CNVD-2019-05572

https://nvd.nist.gov/vuln/detail/CVE-2019-3924#vulnCurrentDescriptionTitle

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系