2026-07-16

Luka w MikroTik RouterOS CVE-2026-39042 — krytyczne ryzyko

Atakujący z łatwością przejął pełną kontrolę nad routerem MikroTik bez konieczności uwierzytelniania. To nie fantazja, lecz realny scenariusz związany z luką CVE-2026-39042, która dotyczy funkcji unflatten() w bibliotece libumsg.so w RouterOS. Luka ta umożliwia zdalne wykonanie kodu i potencjalne przejęcie całkowitej kontroli nad urządzeniem.

Warto reagować natychmiast, ponieważ choć obecnie nie notujemy aktywnej eksploatacji ani publicznych exploitów, możliwość ataku zdalnego, bez uwierzytelnienia, sprawia, że zagrożenie jest poważne. Każdy administrator korzystający z MikroTik w wersji 7.21.x lub 7.22.x powinien znać naturę luki i sposoby jej eliminacji.

Co to za podatność i jak działa

Luka to stack-based buffer overflow w funkcji unflatten() biblioteki libumsg.so RouterOS. Atakujący, wysyłając odpowiednio spreparowane pakiety, może przepełnić bufor stosu, co pozwala na zdalne wykonanie kodu bez wcześniejszego uwierzytelniania. W praktyce oznacza to, że ktoś spoza sieci może przejąć kontrolę nad systemem, instalować backdoory lub zmieniać konfigurację.

Warto zwrócić uwagę na ocenę CVSS 3.1 wynoszącą 7.5 (HIGH), z następującym vectorem: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, co oznacza atak możliwy zdalnie, bez wymaganego uwierzytelnienia, z wysokim wpływem na poufność, integralność i dostępność systemu. Typ CWE to 121 – Stack-based Buffer Overflow.

Które systemy i wersje są podatne

Podatne są urządzenia z MikroTik RouterOS w wersjach 7.21.x i 7.22.x przed wersjami 7.21.4 i 7.22.2. Aby sprawdzić wersję systemu, należy użyć komendy show version w CLI lub odczytać numer wersji w panelu webowym zarządzania routerem.

Jeśli urządzenie działa na którejkolwiek z podatnych wersji, wymagana jest natychmiastowa aktualizacja lub wdrożenie tymczasowych środków ochronnych.

Czy ktoś już to wykorzystuje — aktywna eksploatacja

Na chwilę publikacji nie ma znanych publicznych exploitów i nie odnotowano aktywnej eksploatacji na szeroką skalę. Jednocześnie brak exploitów publicznych nie oznacza braku zagrożenia — luka pozwala na atak bez uwierzytelniania, co stwarza wysokie ryzyko późniejszych prób.

Potencjalne wskaźniki kompromitacji to anomalne połączenia do interfejsu zarządzającego oraz nietypowe procesy działające na routerze. Brak znanych grup APT, które używają tego wektora, ale sytuacja szybko się zmienia.

Jak się zabezpieczyć — krok po kroku

Pierwszym i najważniejszym krokiem jest jak najszybsza aktualizacja RouterOS do wersji 7.21.4 lub 7.22.2. Te wersje zawierają poprawki eliminujące lukę buffer overflow.

Dodatkowo ogranicz dostęp do interfejsu zarządzania routerem, np. ingerując w reguły firewalla. Blokuj zdalny dostęp, jeśli nie jest absolutnie konieczny, i korzystaj z bezpiecznych protokołów (np. VPN dla adminów). Po aktualizacji sprawdź poprawność wersji za pomocą show version.

Jeżeli patch nie jest jeszcze dostępny lub wdrożenie aktualizacji wymaga czasu, tymczasowo odcinaj zdalny dostęp do portów zarządzania i monitoruj logi pod kątem nietypowych prób połączeń.

Co się stanie jeśli nie zareagujesz

Brak reakcji oznacza pełne przejęcie kontroli nad routerem przez zdalnego atakującego. Efektem może być instalacja backdoorów, zmiana trasowania ruchu, wykradanie danych, a nawet atak ransomware na całą sieć.

Zdalny atak bez uwierzytelnienia sprawia, że każde urządzenie z podatną wersją staje się łatwym celem. Skutki obejmują przestoje, kary RODO za wyciek danych i znaczące straty finansowe.

Rekomendacje dla firm i administratorów

Priorytetem jest szybka aktualizacja RouterOS i strangulacja dostępu do interfejsów zarządzania. Administratorzy powinni ciągle monitorować logi i implementować zasady zero-trust tam, gdzie to możliwe.

Firmy MSP, w tym zespół BOIT, oferują pomoc przy aktualizacjach, audytach bezpieczeństwa oraz wdrożeniach stałego monitoringu i ochrony infrastruktury MikroTik.

Zachęcamy do zapoznania się z artykułami BOIT o bezpieczeństwie IT i śledzenia aktualności BOIT w celu szybkiego reagowania na nowe zagrożenia.

Źródła

Bartłomiej Ożóg
Bartłomiej Ożóg