'n Kritieke kwesbaarheid (CVE-2023-32154) is geïdentifiseer in die RouterOS-bedryfstelsel wat in MikroTik-roeteerders gebruik word, wat 'n ongeverifieerde gebruiker in staat stel om kode op 'n toestel op afstand uit te voer deur 'n spesiaal vervaardigde IPv6-roeteerder-aankondiging (RA, Router Advertisement) te stuur.
Die probleem word veroorsaak deur die gebrek aan behoorlike verifikasie van data wat van buite kom in die proses wat verantwoordelik is vir die verwerking van IPv6 RA (Router Advertensie) versoeke, wat dit moontlik gemaak het om data buite die grense van die toegewese buffer te skryf en die uitvoering van jou kode te organiseer met root-regte. Die kwesbaarheid manifesteer hom in die MikroTik RouterOS v6.xx- en v7.xx-takke, wanneer IPv6 RA-boodskappe geaktiveer is in die instellings vir die ontvangs van boodskappe ("ipv6/settings/ set accept-router-advertisements=yes" of "ipv6/settings/ stel vorentoe=nee aanvaar-roeteerder -advertensies=ja-as-aanstuur-gedeaktiveer").
Die vermoë om die kwesbaarheid in die praktyk te ontgin is gedemonstreer by die Pwn2Own-kompetisie in Toronto, waartydens die navorsers wat die probleem geïdentifiseer het 'n beloning van $ 100,000 XNUMX ontvang het vir 'n multi-stadium inbraak van die infrastruktuur met 'n aanval op die Mikrotik-roeteerder en die gebruik daarvan as 'n springplank om ander komponente van die plaaslike netwerk aan te val (hierna het aanval beheer oor 'n Canon-drukker geneem, waar die kwesbaarheid ook bekend gemaak is).
Inligting oor die kwesbaarheid is oorspronklik gepubliseer voordat die pleister deur die vervaardiger gegenereer is (0-dag), maar opdaterings aan RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 is reeds gepubliseer met die kwesbaarheid reggestel. Volgens inligting van die ZDI (Zero Day Initiative)-projek, wat die Pwn2Own-kompetisie hou, is die vervaardiger op 29 Desember 2022 van die kwesbaarheid in kennis gestel. Verteenwoordigers van MikroTik beweer dat hulle nie kennisgewing ontvang het nie en eers op 10 Mei van die probleem verneem het, nadat hulle die finale waarskuwing oor die openbaarmaking van inligting gestuur het. Boonop noem die kwesbaarheidsverslag dat inligting oor die aard van die probleem persoonlik tydens die Pwn2Own-kompetisie in Toronto aan 'n MikroTik-verteenwoordiger oorgedra is, maar volgens MikroTik het maatskappywerknemers in geen hoedanigheid aan die geleentheid deelgeneem nie.
Bron: opennet.ru