Kritika vundebleco (CVE-2023-32154) estis identigita en la operaciumo RouterOS uzata en MikroTik-enkursigiloj, kio permesas al neaŭtentikigita uzanto malproksime efektivigi kodon sur aparato sendante speciale kreitan IPv6-enkursigilon anoncon (RA, Router Advertisement).
La problemo estas kaŭzita de la manko de taŭga kontrolado de datumoj venantaj de ekstere en la procezo respondeca pri prilaborado de IPv6 RA (Router Advertisement) petoj, kiu ebligis skribi datumojn preter la limoj de la asignita bufro kaj organizi la ekzekuton de via kodo. kun radikaj privilegioj. La vundebleco manifestiĝas en la branĉoj MikroTik RouterOS v6.xx kaj v7.xx, kiam IPv6 RA-mesaĝoj estas ebligitaj en la agordoj por ricevi mesaĝojn ("ipv6/settings/ set accept-router-advertisements=yes" aŭ "ipv6/settings/". agordi antaŭen=neniu akcept-enkursigilo -advertisements=jes-se-sendo-malŝaltita").
La kapablo ekspluati la vundeblecon praktike estis pruvita ĉe la konkurso Pwn2Own en Toronto, dum kiu la esploristoj, kiuj identigis la problemon, ricevis rekompencon de 100,000 XNUMX USD por plurŝtupa hakado de la infrastrukturo per atako al la enkursigilo Mikrotik kaj uzante ĝin kiel saltotabulo por ataki aliajn komponentojn de la loka reto (ĉi-poste atakado prenis kontrolon de Canon-printilo, kie la vundebleco ankaŭ estis malkaŝita).
Informoj pri la vundebleco estis origine publikigita antaŭ ol la diakilo estis generita de la fabrikanto (0-tago), sed ĝisdatigoj al RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 jam estis publikigitaj kun la vundebleco fiksita. Laŭ informoj de la projekto ZDI (Zero Day Initiative), kiu okazigas la konkurson Pwn2Own, la fabrikanto estis sciigita pri la vundebleco la 29-an de decembro 2022. Reprezentantoj de MikroTik asertas, ke ili ne ricevis sciigon kaj eksciis pri la problemo nur la 10-an de majo, post sendi la finan averton pri informo-diskonigo. Krome, la raporto pri vundebleco mencias, ke informoj pri la naturo de la problemo estis transdonita al reprezentanto de MikroTik persone dum la konkurso Pwn2Own en Toronto, sed laŭ MikroTik, dungitoj de la kompanio neniel partoprenis la eventon.
fonto: opennet.ru