Alerta: MikroTik RouterOS v6.24RC y arreglo a vulnerabilidad en ntp
Hace unos días se conoció una vulnerabilidad crítica en el servicio NTP (Network Time Protocol), el cual es utilizado para sincronizar la fecha y hora en dispositivos.
Esta vulnerabilidad permite que un atacante con conocimientos y con un paquete especialmente armado pueda atacar a un servidor NTP permitiendo realizar ataques DDoS. Se aclara que es un ataque muy especial el que se debe realizar para poder atacar y se deben dar ciertas condiciones para que pueda lograrse.
Muchos vendors han confirmado la vulnerabilidad en sus routers que utilizan el demonio NTP. MikroTik también lo ha informado, solo que a diferencias de otras marcas, RouterOS solo es vulnerable parcialmente y ha brindando una solución a ello, para quienes la necesiten, en el Release Candidate v6.24rc10.
[notice type=alert]IMPORTANTE: Hay que aclarar que no hay que actualizar compulsivamente los routers por la paranoia de esta vulnerabilidad. Solo hay que realizarlo si se esta utilizando en modo server y está con acceso a internet público (IP Pública y puerto abierto). Si se tiene una red local con dispositivos utilizando NTP cliente, no es necesario actualizar.
Se recomienda también tomar medidas como, solamente dejar ciertos rangos de IP que puedan realizar las consultas a nuestro server NTP y utilizar firewall para tomar acciones de protección al router desde Internet.
[/notice]
Se puede descargar el Release Candidate desde el sitio oficial de MikroTik. El changelog hasta el día de hoy (22 de Diciembre) es:
What's new in 6.24rc10 (2014-Dec-22 13:43): *) ntp - fixed vulnerabilities; *) web proxy - fix problem when dscp was not set when ipv6 was enabled; *) fixed problem where some of ethernet cards do not work on x86; *) improved CCR ethernet driver (less dropped packets); *) improved queue tree parent=global performance (especially on SMP systems and CCRs); *) eoip/eoipv6/gre/gre6/ipip/ipipv6/6to4 tunnels have improved per core balancing on CCRs; *) fixed tx for 6to4 tunnels with unspecified dst address; *) fixed vrrp - could sometimes not work properly because of advertising bad set of ip addresses;
vía: MikroTik
