<div dir="ltr"><br><div><div>Mikrotik has now disclosed itself what the bugs are:</div><div><a href="https://forum.mikrotik.com/viewtopic.php?p=724264#p724238" target="_blank">https://forum.mikrotik.com/viewtopic.php?p=724264#p724238</a></div><div><br></div><div>"<span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px">There were two IPv6 related issues resolved in this version:</span></div><span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px">1) IPv6 packet forwarding might get stuck (due to IPv6 route cache processing) that could lead to Watchdog reboot;</span><br style="box-sizing:border-box;color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px"><span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px">2) IPv6 neighbor table processing might get stuck (due to large neighbor table) that could lead to Watchdog reboot.</span><br style="box-sizing:border-box;color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px"><br style="box-sizing:border-box;color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px"><div><span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px">Seems that one of these was considered as CVE and another one was not. Since author of these CVEs still has a problem, seems that actually #1 was not included in this CVE. However, this "problem" actually is not much of an issue. RouterOS IPv6 route cache max size by default is 1 million. If you try to reach 1 million hosts in your network, route cache grows and can take up to 500 MB. If you have device that does not have such resources, it will reboot itself. If router has, for example, 1 GB of RAM - there is no problem. We will most likely allow to change cache size or will decide its size based on RAM size. However, it can not be considered as a bug or vulnerability. You make router work and then complain that resources are required to do the job. This is not a bug."</span></div></div><div><span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px"><br></span></div><div><span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px">And launched a new beta version to address them:</span></div><div><span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px"><br></span></div><div><a href="https://mikrotik.com/download/changelogs/testing-release-tree" target="_blank">https://mikrotik.com/download/changelogs/testing-release-tree</a><br><br>What's new in 6.45beta23 (2019-Apr-01 05:51):<br style="box-sizing:border-box;color:rgb(117,117,117);font-family:arial,sans-serif;font-size:14px;background-color:rgb(243,245,247)"><br>MAJOR CHANGES IN v6.45:<br>----------------------<br style="box-sizing:border-box;color:rgb(117,117,117);font-family:arial,sans-serif;font-size:14px;background-color:rgb(243,245,247)">!) ipv6 - fixed soft lockup when forwarding IPv6 packets;<br>!) ipv6 - fixed soft lockup when processing large IPv6 Neighbor table;<br>---------------------- <br><br>Changes in this release:<br><br>*) ipsec - properly drop already established tunnel when address change detected;<br>*) ipv6 - adjust IPv6 route cache max size based on total RAM memory;<br>*) smb - fixed possible buffer overflow;<span style="color:rgb(48,48,48);font-family:-apple-system,"Helvetica Neue",Helvetica,sans-serif;font-size:14px"><br></span></div><div><br></div><div class="m_-8876649116321239706gmail-yj6qo m_-8876649116321239706gmail-ajU" style="outline:none;padding:10px 0px;width:22px;margin:2px 0px 0px"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Apr 1, 2019 at 4:49 AM Ariel Weher <<a href="mailto:ariel@weher.net" target="_blank">ariel@weher.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Estimados amigos:<br>
<br>
Se encuentra circulando en internet información relacionada a una<br>
vulnerabilidad relacionada con los sistemas Mikrotik que tienen<br>
configurado IPv6.<br>
<br>
Aparentemente el investigador Marek Isalski asegura que puede consumir<br>
el total de la memoria de cualquier equipo Mikrotik (y forzar su<br>
reinicio) con solo enviar paquetes mal formados a cualquier interface<br>
que cuente con direccionamiento IPv6.<br>
<br>
Aparentemente el investigador hizo una demo del ataque:<br>
<a href="https://youtu.be/TzC-JVjMK8k" rel="noreferrer" target="_blank">https://youtu.be/TzC-JVjMK8k</a><br>
<br>
Varios sitios que tratan el problema piden que se deshabite el<br>
protocolo IPv6 para solucionar esta falla de seguridad.<br>
<br>
Los detalles de la vulnerabilidad aún no son públicos. El investigador<br>
asegura que los va a volver públicos en el evento UKNOF43 el día 9 de<br>
Abril de 2019.<br>
<br>
Mientras tanto:<br>
<br>
* POR FAVOR NO APAGAR EL PROTOCOLO IPv6 *<br>
<br>
Esto podría ser corregido por el equipo que desarrolla RouterOS antes<br>
de la fecha mencionada, o bien podría ser remediado con alguna otra<br>
medida al momento de conocerse los detalles de la vulnerabilidad.<br>
<br>
Es muy importante estar informado acerca de los nuevos releases de<br>
software y de los detalles de este caso antes de tomar cualquier<br>
medida extrema.<br>
<br>
Saludos!<br>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div>