[lacnog] CVE-2018-19298 Mikrotik Neighbor Discovery Protocol memory exhaustion

Uesley Correa uesleycorrea en gmail.com
Lun Abr 1 08:11:33 -03 2019


Estimado Ariel, como te vas?

En realidad es muy complejo este tema. Incluso veo algunos que no hicieron
su despliegue utilizando sucesos así como escusa, diciendo hasta mismo que
se trata de un protocolo inseguro. Estoy de acuerdo con todo que usted he
dicho y añado: no es culpa del IPv6 todos eses sucesos. Solo nosotros
tenemos la culpa por demasiado tarde empezar el despliegue. Quizás
tuviéramos comenzado a la fecha correcta, dichos problemas ya estarían
resueltos y estaríamos hoy con menos problemas en el protocolo que ya es el
estándar de internet. Entonces, más allá de no bajar su IPv6 (el amigo
Rubens envió una nueva versión, todavía beta más que debemos aguardar el
investigador probar) debemos adelantar el despliegue para que adelantemos
posibles problemas y soluciones.

Saludos cordiales,

Uesley Corrêa

PS.: cuando digo nosotros, me incluyo aunque haga siempre el máximo para el
despliegue del protocolo.

On Mon, Apr 1, 2019, 04:17 Rubens Kuhl <rubensk en gmail.com> wrote:

>
> Mikrotik has now disclosed itself what the bugs are:
> https://forum.mikrotik.com/viewtopic.php?p=724264#p724238
>
> "There were two IPv6 related issues resolved in this version:
> 1) IPv6 packet forwarding might get stuck (due to IPv6 route cache
> processing) that could lead to Watchdog reboot;
> 2) IPv6 neighbor table processing might get stuck (due to large neighbor
> table) that could lead to Watchdog reboot.
>
> Seems that one of these was considered as CVE and another one was not.
> Since author of these CVEs still has a problem, seems that actually #1 was
> not included in this CVE. However, this "problem" actually is not much of
> an issue. RouterOS IPv6 route cache max size by default is 1 million. If
> you try to reach 1 million hosts in your network, route cache grows and can
> take up to 500 MB. If you have device that does not have such resources, it
> will reboot itself. If router has, for example, 1 GB of RAM - there is no
> problem. We will most likely allow to change cache size or will decide its
> size based on RAM size. However, it can not be considered as a bug or
> vulnerability. You make router work and then complain that resources are
> required to do the job. This is not a bug."
>
> And launched a new beta version to address them:
>
> https://mikrotik.com/download/changelogs/testing-release-tree
>
> What's new in 6.45beta23 (2019-Apr-01 05:51):
>
> MAJOR CHANGES IN v6.45:
> ----------------------
> !) ipv6 - fixed soft lockup when forwarding IPv6 packets;
> !) ipv6 - fixed soft lockup when processing large IPv6 Neighbor table;
> ----------------------
>
> Changes in this release:
>
> *) ipsec - properly drop already established tunnel when address change
> detected;
> *) ipv6 - adjust IPv6 route cache max size based on total RAM memory;
> *) smb - fixed possible buffer overflow;
>
>
>
> On Mon, Apr 1, 2019 at 4:49 AM Ariel Weher <ariel en weher.net> wrote:
>
>> Estimados amigos:
>>
>> Se encuentra circulando en internet información relacionada a una
>> vulnerabilidad relacionada con los sistemas Mikrotik que tienen
>> configurado IPv6.
>>
>> Aparentemente el investigador Marek Isalski asegura que puede consumir
>> el total de la memoria de cualquier equipo Mikrotik (y forzar su
>> reinicio) con solo enviar paquetes mal formados a cualquier interface
>> que cuente con direccionamiento IPv6.
>>
>> Aparentemente el investigador hizo una demo del ataque:
>> https://youtu.be/TzC-JVjMK8k
>>
>> Varios sitios que tratan el problema piden que se deshabite el
>> protocolo IPv6 para solucionar esta falla de seguridad.
>>
>> Los detalles de la vulnerabilidad aún no son públicos. El investigador
>> asegura que los va a volver públicos en el evento UKNOF43 el día 9 de
>> Abril de 2019.
>>
>> Mientras tanto:
>>
>> * POR FAVOR NO APAGAR EL PROTOCOLO IPv6 *
>>
>> Esto podría ser corregido por el equipo que desarrolla RouterOS antes
>> de la fecha mencionada, o bien podría ser remediado con alguna otra
>> medida al momento de conocerse los detalles de la vulnerabilidad.
>>
>> Es muy importante estar informado acerca de los nuevos releases de
>> software y de los detalles de este caso antes de tomar cualquier
>> medida extrema.
>>
>> Saludos!
>> _______________________________________________
>> LACNOG mailing list
>> LACNOG en lacnic.net
>> https://mail.lacnic.net/mailman/listinfo/lacnog
>> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>>
> _______________________________________________
> LACNOG mailing list
> LACNOG en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/lacnog
> Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20190401/fad4726a/attachment-0001.html>


Más información sobre la lista de distribución LACNOG