RouterOS: Solución a agotamiento de recursos IPv6

RouterOS presentaba vulnerabilidades de agotamiento de recursos relacionadas con IPv6, identificadas bajo los CVE-2018-19298 y CVE-2018-19299. Estos fallos, ya corregidos, podían comprometer la estabilidad del equipo ante ciertas condiciones de tráfico.

Detalle de las vulnerabilidades

El primer problema provocaba el reinicio del dispositivo cuando se enrutaba tráfico hacia numerosas direcciones de destino diferentes. Este reinicio era desencadenado por el temporizador de vigilancia (watchdog timer), ya que la sobrecarga impedía que el dispositivo respondiera adecuadamente.

Tras solucionar el reinicio, se detectó otro inconveniente que saturaba la memoria, debido a que el tamaño de la caché de ruta IPv6 podía superar la RAM disponible. Esta situación se resolvió implementando un cálculo automático del tamaño de la caché basado en la memoria física del equipo.

Ambas correcciones se integraron en las versiones de RouterOS publicadas en abril de 2019, abarcando todas las ramas de lanzamiento: v6.44.2, v6.45beta23 y v6.43.14.

Entradas relevantes del registro de cambios

• IPv6: corrección de bloqueo de software al reenviar paquetes IPv6.
• IPv6: corrección de bloqueo de software al procesar una tabla grande de vecinos IPv6.
• IPv6: ajuste del tamaño máximo de caché de ruta IPv6 en función de la memoria RAM total.

Alcance y remediación

De forma predeterminada, la funcionalidad IPv6 en RouterOS está deshabilitada, por lo que los sistemas con la configuración estándar no se ven afectados. Únicamente los usuarios que han habilitado y configurado manualmente IPv6 podrían estar expuestos si su dirección IPv6 es accesible desde redes no confiables.

Para remediar estas vulnerabilidades, se recomienda actualizar a cualquier versión de RouterOS lanzada después del 1º de abril de 2019.

Fuente: https://blog.mikrotik.com/software/cve-2018-19298-cve-2018-19299-ipv6-resource-exhaustion.html

Ing. Raúl Aragón
Product Manager | SYSCOM®
Mail: raul.aragon@syscom.mx