首页 > 清静研究 > 清静转达 > 清静通告

MikroTik RouterOS身份认证缺失误差清静通告

宣布时间 2019-03-20

误差编号和级别

CVE编号：CVE-2019-3924，，，危险级别：高危，，， CVSS分值：7.5

影响规模

受影响版本：

MikroTik RouterOS <V6.43.12 (stable)以及<V6.42.12 (long-term)

误差概述

MikroTik RouterOS是MikroTik公司（总部位于拉脱维亚）基于Linux内核开发的一种路由操作系统，，，通过装置该系统可将标准的x86 PC装备酿成专业路由器，，，具备无线、认证、战略路由、带宽控制和防火墙过滤等功效。。。。。

清静研究职员发明，，，MikroTik RouterOS 6.43.12 (stable) 以及6.42.12 (long-term)之前的版本保存未经认证可绕过防火墙会见NAT内部网络的误差。。。。。剖析批注，，，该误差是MikroTik装备未对网络探针举行强制身份认证造成的，，，未经身份验证的攻击者可使用此误差绕过路由器的防火墙，，，并举行内部网络扫描活动。。。。。

阻止目今，，，发明大宗袒露在互联网上的相关装备，，，详细信息见下图一、二。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图一海内袒露在互联网的该误差相关网络资产信息

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

图二海内袒露在互联网的该误差相关网络资产漫衍图

修复建议

现在厂商已宣布解决上述误差的清静防护步伐，，，建议相关用户实时检查更新。。。。。

详情请关注厂商网站的相关信息：https://mikrotik.com/download。。。。。

别的，，，建议相关用户应接纳的其他清静防护步伐如下：

（1）最大限度地镌汰所有系统装备和系统的网络袒露，，，并确保无法从Internet会见。。。。。

（2）定位防火墙防护的控制系统网络和远程装备，，，并将其与营业网络隔离。。。。。

（3）当需要远程会见时，，，请使用清静要领如虚拟专用网络（VPN），，，要熟悉到VPN可能保存的误差，，，需将VPN更新到最新版本。。。。。

参考链接

http://www.cnvd.org.cn/flaw/show/CNVD-2019-05572

https://nvd.nist.gov/vuln/detail/CVE-2019-3924#vulnCurrentDescriptionTitle

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究