CVE-2018-14847
MikroTik RouterOS
2021-12-01
MikroTik RouterOS through 6.42 allows unauthenticated remote attackers to read arbitrary files and remote authenticated attackers to write arbitrary files due to a directory traversal vulnerability in the WinBox interface.
Технический анализ и план устранения
Суть уязвимости
Неаутентифицированный злоумышленник может удаленно читать произвольные файлы на устройстве, а аутентифицированный — записывать их. Это происходит из-за уязвимости обхода каталогов (Directory Traversal) в интерфейсе WinBox (порт TCP 8291). Злоумышленник может получить доступ к конфигурационным файлам, включая учетные данные, или загрузить вредоносное ПО.
Как исправить
Уязвимость устранена в RouterOS, начиная с версии 6.42.7 (стабильная ветка) и 6.43rc (тестовая ветка).
-
Проверьте текущую версию:
bash /system resource printВ выводе найдите строкуversion:. -
Обновите RouterOS до исправленной версии:
bash /system package update check-for-updatesЕсли обновления доступны, установите их:bash /system package update download installПосле установки перезагрузите устройство:bash /system reboot
Временное решение
Если немедленное обновление невозможно, выполните следующие действия:
-
Ограничьте доступ к интерфейсу WinBox (порт 8291):
- Заблокируйте порт 8291 на внешних (WAN) интерфейсах с помощью Firewall.
- Разрешите подключения к WinBox только с доверенных внутренних IP-адресов или VLAN.
Пример правила Firewall для блокировки входящего трафика на WinBox извне (добавьте в цепочку
input):bash /ip firewall filter add chain=input protocol=tcp dst-port=8291 in-interface-list=WAN action=drop comment="Block WinBox from WAN (CVE-2018-14847)" -
Отключите службу WinBox: Если она не используется, полностью отключите ее.
bash /ip service disable winbox -
Используйте альтернативные методы управления: Для настройки роутера временно используйте только защищенные методы:
- SSH (порт 22)
- Веб-интерфейс (порт 80/443) только по HTTPS
- Консоль (кабель)