MikroTik bideratzaileetan erabiltzen den RouterOS sistema eragilean ahultasun kritiko bat (CVE-2023-32154) identifikatu da, autentifikatu gabeko erabiltzaileari gailuan kodea urrunetik exekutatzeko aukera ematen diona, bereziki diseinatutako IPv6 bideratzaileen iragarkia bidaliz (RA, Router Advertisement).
Arazoa IPv6 RA (Router Advertisement) eskaerak prozesatzeko ardura duen prozesuan kanpotik datozen datuen egiaztapen egokirik ez izateak sortzen du, eta horri esker, esleitutako buffer-aren mugetatik haratago datuak idaztea eta zure kodearen exekuzioa antolatzea posible da. root pribilegioekin. Ahultasuna MikroTik RouterOS v6.xx eta v7.xx adarretan agertzen da, IPv6 RA gaituta dagoenean IPv6 RA mezuak jasotzeko ezarpenetan (βipv6/settings/ set accept-router-advertisements=yesβ edo βipvXNUMX/settings/ ezarri aurrera=ez onartu-bideratzailerik -advertisements=bai-birbidaltzea-desgaituta badago").
Praktikan ahultasuna ustiatzeko aukera Torontoko Pwn2Own lehiaketan frogatu zen, eta bertan arazoa identifikatu zuten ikertzaileek 100,000 $-ko saria jaso zuten, Mikrotik bideratzaileari eraso eginez azpiegitura etapa anitzeko hackeatzeagatik eta hura bezala erabiltzeagatik. tokiko sareko beste osagai batzuen aurkako erasorako abiapuntua (geroago erasotzaileek Canon inprimagailu baten kontrola lortu zuten, ahultasunari buruzko informazioa ere zabaldu zen).
Ahultasunari buruzko informazioa fabrikatzaileak adabakia sortu baino lehen argitaratu zen hasieran (0 egunekoa), baina ahultasuna konpontzen duten RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 eguneraketak argitaratu dira dagoeneko. Pwn2Own lehiaketa burutzen duen ZDI (Zero Day Initiative) proiektuaren informazioaren arabera, fabrikatzaileari ahultasuna jakinarazi zitzaion 29ko abenduaren 2022an. MikroTik-eko ordezkariek diote ez zutela jakinarazpenik jaso eta maiatzaren 10ean soilik ezagutu zutela arazoaren berri, azken dibulgazio abisua bidali ostean. Gainera, ahultasun-txostenak aipatzen du arazoaren izaerari buruzko informazioa MikroTik-eko ordezkari bati pertsonalki helarazi zitzaiola Torontoko Pwn2Own lehiaketan, baina MikroTik-en arabera, MikroTik-eko langileek ez zuten ekitaldian inola ere parte hartu.
Iturria: opennet.ru