Беше идентифицирана критична уязвимост (CVE-2023-32154) в операционната система RouterOS, използвана в рутерите на MikroTik, която позволява на неупълномощен потребител да изпълни отдалечено код на устройство чрез изпращане на специално създадено съобщение за IPv6 рутер (RA, Router Advertisement).
Проблемът е причинен от липсата на подходяща проверка на данните, идващи отвън в процеса, отговорен за обработката на IPv6 RA (Router Advertisement) заявки, което направи възможно записването на данни извън границите на разпределения буфер и организира изпълнението на вашия код с root права. Уязвимостта се проявява в клоновете на MikroTik RouterOS v6.xx и v7.xx, когато IPv6 RA съобщенията са активирани в настройките за получаване на съобщения ("ipv6/settings/ set accept-router-advertisements=yes" или "ipv6/settings/ set forward=no accept-router -advertisements=yes-if-forwarding-disabled").
Способността да се използва уязвимостта на практика беше демонстрирана на състезанието Pwn2Own в Торонто, по време на което изследователите, идентифицирали проблема, получиха награда от $ 100,000 XNUMX за многоетапно хакване на инфраструктурата с атака срещу рутера Mikrotik и използването му като трамплин за атака на други компоненти на локалната мрежа (по-нататък атаката пое контрола върху принтер на Canon, където също беше разкрита уязвимостта).
Информацията за уязвимостта първоначално беше публикувана преди кръпката да бъде генерирана от производителя (0-ден), но вече бяха публикувани актуализации на RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 с коригираната уязвимост. Според информация от проекта ZDI (Zero Day Initiative), който провежда състезанието Pwn2Own, производителят е уведомен за уязвимостта на 29 декември 2022 г. Представители на MikroTik твърдят, че не са получили известие и са научили за проблема едва на 10 май, след като са изпратили последното предупреждение за разкриване на информация. Освен това в доклада за уязвимостта се споменава, че информацията за естеството на проблема е била предадена лично на представител на MikroTik по време на състезанието Pwn2Own в Торонто, но според MikroTik служителите на компанията не са участвали в събитието по никакъв начин.
Източник: opennet.ru