Se ha identificado una vulnerabilidad crítica (CVE-2023-32154) en el sistema operativo RouterOS utilizado en los enrutadores MikroTik, que permite a un usuario no autenticado ejecutar código de forma remota en el dispositivo enviando un anuncio de enrutador IPv6 especialmente diseñado (RA, Router Advertisement).
El problema se debe a la falta de verificación adecuada de los datos provenientes del exterior en el proceso responsable de procesar las solicitudes IPv6 RA (Router Advertisement), lo que permitió escribir datos más allá de los límites del buffer asignado y organizar la ejecución de su código. con privilegios de root. La vulnerabilidad aparece en las ramas MikroTik RouterOS v6.xx y v7.xx, cuando IPv6 RA está habilitado en la configuración para recibir mensajes IPv6 RA (“ipv6/settings/set Accept-router-advertisements=yes” o “ipvXNUMX/settings/ set forward=no aceptar-router -advertisements=yes-if-forwarding-disabled").
La posibilidad de explotar la vulnerabilidad en la práctica se demostró en el concurso Pwn2Own en Toronto, durante el cual los investigadores que identificaron el problema recibieron una recompensa de 100,000 dólares por piratear la infraestructura en varias etapas atacando el enrutador Mikrotik y usándolo como un trampolín para un ataque a otros componentes de la red local (más tarde, los atacantes obtuvieron el control de una impresora Canon, cuya vulnerabilidad también se reveló).
La información sobre la vulnerabilidad se publicó inicialmente antes de que el fabricante generara el parche (día 0), pero ya se han publicado las actualizaciones de RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 que corrigen la vulnerabilidad. Según información del proyecto ZDI (Zero Day Initiative), que organiza el concurso Pwn2Own, el fabricante fue notificado de la vulnerabilidad el 29 de diciembre de 2022. Los representantes de MikroTik afirman que no recibieron notificación y sólo se enteraron del problema el 10 de mayo, después de enviar la advertencia de divulgación final. Además, el informe de vulnerabilidad menciona que la información sobre la naturaleza del problema se comunicó personalmente a un representante de MikroTik durante la competencia Pwn2Own en Toronto, pero según MikroTik, los empleados de MikroTik no participaron en el evento de ninguna manera.
Fuente: opennet.ru