Уязвимость в маршрутизаторах MikroTik, приводящая к выполнению кода при обработке IPv6 RA
В операционной системе RouterOS, применяемой в маршрутизаторах MikroTik, выявлена критическая уязвимость (CVE-2023-32154), позволяющая неаутентифицированному пользователю удалённо выполнить код на устройстве через отправку специально оформленного анонса маршрутизатора IPv6 (RA, Router Advertisement).

MikroTik: CVE-2023-30800

Веб-сервер, используемый в MikroTik RouterOS version 6, подвержен проблеме с повреждением "heap memory" (heap memory corruption issue). Удалённый и неаутентифицированный атакующий может сформировать и отправить специфичный HTTP пакет, который воспроизведёт проблему (can corrupt the server's heap memory).
В результате веб сервер скрашится и сразу же перезапустится.

Проблема исправлена в RouterOS 6.49.10 stable.
RouterOS version 7 не подвержена.

----
Время обновляться!

Уважаемые коллеги, с 10 по 12 октября мы провели традиционное обучающее мероприятие "Академия НАГ 2023".

Предлагаем посмотреть, как это было. 🔥

Ожидается новая архитектура для #RouterOS 7

11.11 всё-таки.
Решил себя порадовать и заказал роутер с 802.11 ax.

Тем более, что уже пару домашних устройств поддерживают.

Наверное уже видели DOS_deck, где сейчас 14 игр под DOS в браузере. Там всё официально и по лицензиям и не всё бесплатно, но Supaplex ради которого я и зашёл и наверное только ради которого и стоит зайти, несмотря на то что есть много известного, работает без ограничений. И этого достаточно, чтобы нескучно провести вечер понедельника.

Информационный бюллетень MikroTik — Ноябрь 2023.
#newsletter #115 (Часть 1/2)

Анонс новых устройств:

LtAP LTE6 kit (2023) — $199
Уже известный LtAP LTE kit, но новый.

CME Gateway (CME22-2n-BG77) — $99
Прочный недорогой модем с низкой пропускной способностью для подключения устройств Ethernet к мобильной сети... на самом жестком бюджете!

Модем LTE4 : R11eL-EC200A-EU —$65

Модем LTE6: R11eL-FG621-EA — $85

Информационный бюллетень MikroTik — Ноябрь 2023.
#newsletter #115 (часть 2/2)

Новый пакет WiFi (New wifi packages)
Начиная с RouterOS 7.13, MikroTik отделяет старый wireless package из состава основного комбинированного пакета (RouterOS bundle) и переименовывает WiFi package в просто wifi, который теперь становится частью основного комбинированного пакета.

Грядёт новая и захватывающая эра для функций WiFi в RouterOS!

Также разделены базовый функционал WiFi и драйверы устройств, что позволит сократить размер пакета, чтобы осовободить место на устройствах.

Технически основной комбинированный пакет содержит только базовую wifi функциональность и CAPsMAN, так что устройства без беспроводных интерфейсов, используемые в качестве CAPsMAN, не будут использовать пространство на флешке без необходимости.

Ввиду этого меню WiFi будет отображаться на всех устройствах (даже на не имеющих беспроводные интерфейсы).

Новый пакет WiFi совместим с большим количеством устройств.
Новый пакет можно использовать даже на 802.11ac устройствах с архитектурой ARM.

Также можно использовать старый wireless и новый wifi пакеты одновременной, что позволит использовать один роутер для запуска как старого, так и нового CAPsMAN.

При обновлении через "Check for Update" система самостоятельно установит корректные пакеты и драйвера.
При этом обновление возможно только с RouterOS 7.12.
Устройства на версии ниже не "увидят" релиз 7.13 через стандартный механизм обновления.

Размер основного пакета (MAIN) в KB
Актуально для устройств без беспроводных интерфейсов
| 7.12.1 | 7.13beta3 | уменьшение
-------|--------|-----------|-----------
ARM | 13,483 | 11,594 | 14%
ARM64 | 13,794 | 11,152 | 19%
MIPSBE | 12,088 | 9,804 | 19%
MMIPS | 11,336 | 9,169 | 19%
PPC | 21,512 | 19,009 | 12%
SMIPS | 7,736 | 7,128 | 8%
TILE | 15,579 | 14,445 | 7%

=================

Суммарный размер пакетов с использованием нового WiFi пакета в KB.

       | 7.12.1 | 7.13beta3 | уменьшение
-------|--------|-----------|-----------
ARM    | 23,931 | 22,238    |  7.08% 
ARM64  | 24,482 | 21,576    | 11.87%

Для 7.12.1 пакет main + wifiwave2
Для 7.13beta3 пакет main + wifi-qcom,wifi-qcom-ac

=================

В обоих случаях выше сокращение за счёт вынесения пакета wireless в опциональные (EXTRA).

Размер пакета wireless в RouterOS 7.13beta3 в KB
ARM | 2,704
ARM64 | 2,564
MIPSBE | 2,620
MMIPS | 2,508
PPC | 2,896
SMIPS | 672
TILE | 1,688

Если устали от настройки кучи одинаковых роутеров MikroTik, есть отечественные ребята, которые делают решение, позволяющее запустить сеть с VPN между офисами, балансировкой каналов и мониторингом, которая настраивается в пару кликов.

Узнать больше можно на вебинаре сегодня в 13:00 YEKT (11:00 MSK)
Трансформация распределенных сетей с BI.ZONE Secure SD‑WAN 1.5

Наблюдаются глобальные проблемы с резолвом DNS в зоне RU.

Заметка для резервирования: держать зеркало DNS в нескольких разных доменах первого уровня

Как-то незаметно в #RouterOS 7.13 появилась первоначальная поддержка IS-IS.

What's new in 7.13 (2023-Dec-14 09:24): 
...
*) isis - added IS-IS protocol support (CLI only); 

Routing Protocol Overview

Оказывается, ещё летом прошлого года в #RouterOS 7 добавили в SNMP информацию о BGP IPv4 сессиях.

What's new in 7.10 (2023-Jun-15 08:17): 
*) snmp - added BGP peer table support IPv4 only (1.3.6.1.2.1.15.3.1);

Но реализовали как-то очень частично, только одну таблицу BGP4-MIB::bgpPeerTable
Настолько, что удобно использовать затреднительно.
Не хватало минимум BGP4-MIB::bgpLocalAs.0, но к счастью это исправили:

What's new in 7.14rc1 (2024-Feb-09 12:32):
*) snmp - added "bgpLocalAs" and "bgpIdentifier" OID reporting;
*) snmp - fixed "bgpPeerFsmEstablishedTime" OID reporting;

Кстати, в актуальной версии мониторинга Observium автоматическое обнаружение уже корректно определяет BGP сессии.

Ещё из ожидаемых фич в #RouterOS 7.14
What's new in 7.14rc4 (2024-Feb-28 13:38):
*) bgp - allow to leak routes between local VRFs;
*) system - expose "lo" and "vrf" interfaces;

Получается, что практика создавать bridge с именем loopback наконец-то прекратится?