MikroTik-reitittimissä käytettävästä RouterOS-käyttöjärjestelmästä on tunnistettu kriittinen haavoittuvuus (CVE-2023-32154), jonka avulla todentamaton käyttäjä voi suorittaa koodia laitteella etänä lähettämällä erityisesti suunnitellun IPv6-reitittimen mainoksen (RA, Router Advertisement).
Ongelma johtuu siitä, että IPv6 RA (Router Advertisement) -pyyntöjen käsittelystä vastaavassa prosessissa ei ollut varmennettu ulkopuolelta tulevia tietoja, mikä mahdollisti tietojen kirjoittamisen varatun puskurin rajojen ulkopuolelle ja koodin suorittamisen järjestämisen. pääkäyttäjän oikeuksilla. Haavoittuvuus ilmenee MikroTik RouterOS v6.xx- ja v7.xx-haaroissa, kun IPv6 RA on otettu käyttöön IPv6 RA -viestien vastaanottoasetuksissa ("ipv6/settings/set accept-router-advertisements=yes" tai "ipvXNUMX/settings/ set forward=no accept-router -advertisements=yes-if-forwarding-disabled").
Mahdollisuus haavoittuvuuden hyödyntämiseen käytännössä esiteltiin Torontossa järjestetyssä Pwn2Own-kilpailussa, jonka aikana ongelman tunnistaneet tutkijat saivat 100,000 XNUMX dollarin palkinnon infrastruktuurin monivaiheisesta hakkeroinnista hyökkäämällä Mikrotik-reitittimeen ja käyttämällä sitä ponnahduslauta paikallisverkon muihin osiin kohdistuvaan hyökkäykseen (myöhemmin hyökkääjät saivat hallintaansa Canon-tulostimen, jonka haavoittuvuudesta myös tiedotettiin).
Tietoa haavoittuvuudesta julkaistiin alun perin ennen kuin valmistaja oli luonut korjaustiedoston (0 päivää), mutta RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 päivitykset, jotka korjaavat haavoittuvuuden, on jo julkaistu. Pwn2Own-kilpailua pyörittävän ZDI-projektin (Zero Day Initiative) tietojen mukaan valmistajalle ilmoitettiin haavoittuvuudesta 29. MikroTikin edustajat väittävät, että he eivät saaneet ilmoitusta ja saivat tietää ongelmasta vasta 2022. toukokuuta lähetettyään lopullisen ilmoitusvaroituksen. Lisäksi haavoittuvuusraportissa mainitaan, että tietoa ongelman luonteesta välitettiin MikroTikin edustajalle henkilökohtaisesti Pwn10Own-kilpailun aikana Torontossa, mutta MikroTikin mukaan MikroTikin työntekijät eivät osallistuneet tapahtumaan millään ominaisuudella.
Lähde: opennet.ru