En kritisk sårbarhed (CVE-2023-32154) er blevet identificeret i RouterOS-operativsystemet, der bruges i MikroTik-routere, som gør det muligt for en uautoriseret bruger at eksternt udføre kode på enheden ved at sende en specielt designet IPv6-routerannonce (RA, Router Advertisement).
Problemet er forårsaget af manglen på korrekt verifikation af data, der kommer udefra i den proces, der er ansvarlig for behandling af IPv6 RA (Router Advertisement)-anmodninger, hvilket gjorde det muligt at skrive data ud over grænserne for den tildelte buffer og organisere udførelsen af din kode med root-rettigheder. Sårbarheden vises i MikroTik RouterOS v6.xx og v7.xx grenene, når IPv6 RA er aktiveret i indstillingerne for modtagelse af IPv6 RA-meddelelser ("ipv6/settings/set accept-router-advertisements=yes" eller "ipvXNUMX/settings/ sæt frem=nej accept-router -annoncer=ja-hvis-videresendelse-deaktiveret").
Evnen til at udnytte sårbarheden i praksis blev demonstreret ved Pwn2Own-konkurrencen i Toronto, hvor forskerne, der identificerede problemet, modtog en belønning på $100,000 for et flertrinshack af infrastrukturen med et angreb på Mikrotik-routeren og bruge den som et springbræt til et angreb på andre komponenter af det lokale netværk (senere angribere fik kontrol over en Canon-printer, information om sårbarheden blev også afsløret).
Oplysninger om sårbarheden blev oprindeligt offentliggjort, før patchen blev genereret af producenten (0-dages), men RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8-opdateringer, der løser sårbarheden, er allerede blevet offentliggjort. Ifølge oplysninger fra ZDI-projektet (Zero Day Initiative), som kører Pwn2Own-konkurrencen, blev producenten underrettet om sårbarheden den 29. december 2022. MikroTik-repræsentanter hævder, at de ikke modtog besked og først lærte om problemet den 10. maj efter at have sendt den sidste advarsel om offentliggørelse. Derudover nævner sårbarhedsrapporten, at oplysninger om problemets art blev kommunikeret personligt til en MikroTik-repræsentant under Pwn2Own-konkurrencen i Toronto, men ifølge MikroTik deltog MikroTik-medarbejdere ikke i arrangementet på nogen måde.
Kilde: opennet.ru