Os roteadores Mikrotik, muito populares entre os provedores de acesso, têm um problem grave segundo um pesquisador: eles podem ser derrubados por meio de um acesso via IPV6. O problema não é novo: ele foi informado à empresa em Abril do ano passado, mas até agora a Mikrotik não corrigiu o problema. Agora, o pesquisador que descobriu a falha, Marek Isalski, vai publicá-la na conferência UK Network Operators’ Forum, dia 9 de Abril, em Manchester, Inglaterra.
O problema está no sistema operacional RouterOS V7, e já tem até CVE reservado: é o CVE-2018-19299. O problema ganhou um score de 9.3 no CVSS. Segundo Isalski, a Mikrotik fez mais de 20 updates depois da comunicação dele, e não trouxe uma solução para esse problema alegando que é bug e não vulnerabilidade de segurança. De acordo com um post no fórum de usuários da MikroTik, a vulnerabilidade é “um problema de exaustão de memória. Você envia um pacote v6 formado de certa forma para um roteador Mikrotik e o kernel vaza um pouco de memória. Quando a memória se esgota, o watchdog reinicia o dispositivo. Não há como barrar com firewall, porque seja qual for a característica que causa o problema ele pode ser criado com qualquer pacote IPv6”.
O pesquisador conta que o problema permite a um atacante remoto derrubar qualquer dispositivo Mikrotik caso possa acessá-lo via IPv6. “Mesmo com o firewall, você ainda é um pato sentado”, afirma. Num post no forum da Mikrotik, ele fez uma convocação aos colegas: “Como uma comunidade, é absolutamente crítico que nós pressionemos o Mikrotik para uma solução deste problema como uma questão de extrema urgência. As conseqüências de que isto vaze antes de uma correção estar disponível seria desastrosa para todos nós. Todos prestem atenção e ajudem a garantir que o Mikrotik entenda como esse problema é crítico”.
Embora a publicação ainda não tenha sido feita, o problema já está inquietando provedores. Por conta disso, o engenheiro Antonio Marcos Moreiras, do NiC BR e um dos evangelistas do IPv6 no Brasil, gravou um vídeo recomendando que ninguém se precipite. Assista:
