RouterOS Schwachstelle (DNS Cache Poisoning)

Veröffentlicht am

Tenable hat eine Schwachstelle in der RouterOS-DNS-Implementierung identifiziert. RouterOS 6.45.6 und darunter ist anfällig für eine nicht authentifizierte Remote-DNS-Cache-Vergiftung über Winbox. Der Router ist auch dann betroffen, wenn DNS nicht aktiviert ist.

Ein möglicher Angriffsvektor ist über Winbox auf Port 8291, wenn dieser Port für nicht vertrauenswürdige Netzwerke offen ist. Der Resolver kann über Winbox erreicht werden, indem Nachrichten an den System-Resolver gesendet werden. Wenn der Winbox-Zugriff von nicht vertrauenswürdigen Netzwerken aus aktiviert ist, kann ein Angreifer aus dem Internet eine DNS-Anforderung vom Router auslösen, die es dem Angreifer erlaubt, beliebige Anfragen zu stellen, die interne Adresse des Routers (router.lan) zu finden oder herauszufinden, was bereits im Cache gespeichert ist.

Wie üblich empfehlen wir, die Verwaltungsoberfläche des Routers mit VPN und Firewall zu schützen.

Das Problem ist in den RouterOS-Versionen behoben:

6.45.7 [stabil]
6.44.6 [langfristig]
6,46beta59 [Prüfung]

Mit dem folgenden Changelog-Eintrag:

!) Sicherheit - unsachgemäße Behandlung von DNS-Antworten behoben (CVE-2019-3978, CVE-2019-3979);