AASHS25/CVE-Mikrotik-2026
GitHub: AASHS25/CVE-Mikrotik-2026
批量审计和加固 MikroTik RouterOS 设备以应对 CVE-2026-59108 漏洞的 Python 工具包,通过版本比对和服务暴露检测帮助运维人员快速识别风险设备并完成升级验证。
Stars: 0 | Forks: 0
# CVE-2026-59108 — 针对 MikroTik RouterOS 的研发与防御工具包
## 1. CVE-2026-59108 概览(研发结果)
| 项目 | 详情 |
|------|--------|
| 厂商 / 产品 | MikroTik RouterOS |
| 类型 | “服务安全问题”(早期更新日志痕迹:**PPP** 组件,随后被 MikroTik 删除) |
| 修复发布 | 2026 年 7 月初 |
| **已修复版本** | **7.23.2** (stable), **7.21.5** (long-term), **6.49.20** (long-term/stable) |
| 受影响版本 | RouterOS 7.23.x < 7.23.2, 7.21.x < 7.21.5, 6.49.x < 6.49.20(以及更旧的分支) |
| 官方 CVSS | 暂无 |
| CWE | 暂无 |
| 公开的 PoC / exploit | **无** |
### 为什么技术细节如此之少?
MikroTik **故意**保留了细节。早期的更新日志曾包含一行
`ppp – fixed CVE-2026-59108`,随后被替换为通用声明:
*“修复了一个服务安全问题,使用默认配置的家庭用户不受影响,
但我们建议所有用户都进行升级。”*
这对于作为防御者的我们意味着:
- **家庭用户默认配置**:风险较低,但仍需更新。
- **服务暴露在不受信任网络(WAN/Internet)的设备**:
高优先级 — **立即升级**。
### 关于“PoC”
目前没有公开的 exploit,且 MikroTik 隐藏了其具体的代码路径细节。制作
并声称是针对该 CVE 的“exploit”将是**虚假且具有误导性的**。由于你管理着
100 多台设备,真正有用且负责任的“PoC”应是
**用于验证漏洞的 PoC**:即通过脚本来证明哪些设备仍然存在漏洞
(版本低于修复版本)以及哪些设备的服务已暴露。这正是本仓库所提供的内容。
## 2. 工具包内容
```
scripts/
audit_mikrotik.py # Audit massal 100+ perangkat: cek versi vs fixed + service terekspos
devices.example.csv # Template inventaris perangkat
requirements.txt # Dependensi Python
hardening/
harden.rsc # Skrip hardening RouterOS (batasi service, firewall input)
verify.rsc # Verifikasi pasca-upgrade
```
## 3. 使用方法(保护 100+ 台设备的安全流程)
### 步骤 0 — 前置条件
```
cd scripts
python3 -m venv .venv && source .venv/bin/activate
pip install -r requirements.txt
```
### 步骤 1 — 准备清单
复制 `devices.example.csv` → `devices.csv`,填入 IP/主机名 + 凭据(SSH)。
如果可能,请使用只读账号;审计过程仅会执行读取命令。
### 步骤 2 — 批量审计(检测漏洞与暴露情况)
```
python3 audit_mikrotik.py --inventory devices.csv --workers 20 --out laporan_audit.csv
```
脚本将针对每台设备并行执行以下操作:
- 读取 RouterOS 版本 (`/system resource print`),
- 与已修复版本表进行比对 → 输出状态 **VULNERABLE / OK / UNKNOWN**,
- 检查已激活并暴露的管理服务 (`/ip service print`,PPP server),
- 标记存在风险的发现(Telnet/FTP/API/WinBox/WebFig 对 0.0.0.0/0 开放)。
输出结果:终端中的简要表格 + 用于后续处理的 `laporan_audit.csv`。
### 步骤 3 — 优先排序与升级
首先升级状态为 **VULNERABLE + 已暴露** 的设备。目标版本:
根据各自的分支选择 `7.23.2` / `7.21.5` / `6.49.20`。
### 步骤 4 — 加固
应用 `hardening/harden.rsc`(请先审查,并根据你的管理员子网进行调整):
```
/import harden.rsc
```
### 步骤 5 — 验证
```
/import verify.rsc
```
或者重新运行 `audit_mikrotik.py` — 所有设备的状态必须为 **OK**。
## 4. 快速缓解措施(如果暂时无法立即升级)
1. **将管理服务限制**在仅限管理员子网访问 (`/ip service set ... address=`)。
2. **关闭明文协议**:telnet、ftp、www (WebFig HTTP)、api。
3. 在防火墙的 input chain 中 **丢弃**来自 WAN 接口的流量 — 仅允许受信任的管理员访问。
4. 如果不从 Internet 使用,请**限制/审计 PPP 和 VPN server**。
5. **监控日志**中的 PPP/VPN 身份验证及配置更改。
详细的命令请参见 `hardening/harden.rsc`。
## 5. 参考来源
- [Penligent — CVE-2026-59108, MikroTik RouterOS Service Exposure and Safe Triage](https://www.penligent.ai/hackinglabs/cve-2026-59108/)
- [MikroTik forum — 7.23.2 [stable] is released](https://forum.mikrotik.com/t/7-23-2-stable-is-released/271470/32)
- [MikroTik Security](https://mikrotik.com/supportsec)
- [CISA — Vulnerability Summary week of June 29, 2026](https://www.cisa.gov/news-events/bulletins/sb26-187)
标签:GitHub Advanced Security, MikroTik, RouterOS, 内存分配, 安全加固, 实时处理, 插件系统, 智能体, 网络安全, 逆向工具, 隐私保护