CVE-2019–3924 dotyczy firmware RouterOS dla gałęzi stabilnej i gałęzi wsparcia długoterminowego. Podatność umożliwia nieuwierzytelnionemu intruzowi wysłanie żądań proxy TCP i UDP przez port używany przez aplikację Winbox do zarządzania — pod warunkiem, że Winbox jest wystawiony do Internetu.
Luka nie dotyczy urządzeń z domyślną konfiguracją, jeżeli pole „Firewall router” zostało włączone. Nie jest możliwe wgranie pliku do urządzenia i np. wystawienie webshall-a. Problem związany jest z przekierowaniem połączeń i został naprawiony w wersjach:
- 6.43.12 (2019-02-11 14:39)
- 6.44beta75 (2019-02-11 15:26)
- 6.42.12 (2019-02-12 11:46)
Firma Mikrotik zachęca wszystkich użytkowników i administratorów, aby korzystali z możliwe najnowszych wersji oprogramowania. Łotewski producent jako jeden z nielicznych ciągle wspiera bardzo stare urządzenia, która działają pod kontrolą tego samego oprogramowania. Jeżeli więc szukacie dla siebie taniej i super-funkcjonalnej zapory sieciowej, która będzie otrzymywała przez wiele lat aktualizacje bezpieczeństwa to Mikrotik jest świetnym rozwiązaniem.
Bardzo szczegółowo o podatności na stronie: https://medium.com/tenable-techblog/mikrotik-firewall-nat-bypass-b8d46398bf24
