MikroTik RouterOS SMB DoS 漏洞 CVE-2024-27686 允许远程攻击者

执行摘要

MikroTik RouterOS 中公开披露的拒绝服务漏洞 CVE-2024-27686（CVSS 7.5），允许未经身份验证的远程攻击者通过向 TCP 端口 445 上的 SMB 服务发送特制的数据包，使受影响的设备崩溃。该漏洞影响 MikroTik RouterOS x86 架构的版本从 6.40.5 到 6.49.10。MikroTik 在 RouterOS 版本 7 中解决了这个问题，但尚未发布 6.x 分支的独立补丁。研究人员 ice-wzl 在 GitHub 上发布了概念验证漏洞利用代码，增加了野外扫描的风险。

技术分析

CVE-2024-27686 存在于 MikroTik RouterOS x86 架构中 SMB 服务器实现中。SMB 服务默认监听 TCP 端口 445 并处理传入的会话请求。根据漏洞披露和 GitHub 上发布的配套概念验证代码，发送具有特定构造字段的畸形数据包会触发 SMB 解析例程中的未处理异常，导致整个操作系统崩溃并重启。

该漏洞不需要身份验证 —— 任何能够到达目标 RouterOS 设备端口 445 的远程主机都可以触发拒绝服务。崩溃导致整个设备重置，中断路由、防火墙、VPN 以及受影响路由器上运行的所有其他服务。重复利用可能导致持续的服务拒绝。

受影响的版本范围 —— 6.40.5 到 6.49.10 —— 涵盖了 RouterOS 6.x 系列中数年的稳定版本。MikroTik 没有将修复回溯到 6.x 分支；公司认为 RouterOS 7 是升级路径。这使得大量安装的 6.x 设备暴露在外，除非操作员手动禁用或防火墙 SMB 服务。

研究人员 ice-wzl 在 GitHub 上的 "RouterOS-SMB-DOS-POC" 存储库中发布了概念验证代码。该存储库包括一个 Python 脚本，构建畸形 SMB 数据包并将其发送到目标。截至本文撰写时，漏洞利用代码是公开可访问且功能正常的。

缓解措施与建议

运行 MikroTik RouterOS 6.x 设备的防御者应立即采取以下步骤：

• 如果硬件支持，升级到 RouterOS 7。版本 7 不受此漏洞影响，并包括额外的安全改进。
• 如果不需要 SMB 进行管理，在网络边界和内部防火墙规则上阻止入站 TCP 端口 445。RouterOS 中的 SMB 服务主要用于文件共享和 Windows 网络浏览 —— 许多部署不需要它暴露。
• 如果服务是必需的，使用 RouterOS 防火墙规则通过源 IP 限制 SMB 访问。仅允许连接到受信任的管理主机。
• 监控意外重启或可能表明利用尝试的 SMB 相关日志条目。

对于无法升级到 RouterOS 7 的设备，完全禁用 SMB 服务是最有效的缓解措施。这可以通过 RouterOS CLI 或 WinBox 界面停止 smb 服务来完成。请注意，禁用 SMB 将破坏依赖于它的任何合法文件共享功能。