Une vulnérabilité critique (CVE-2023-32154) a été identifiée dans le système d'exploitation RouterOS utilisé dans les routeurs MikroTik, qui permet à un utilisateur non authentifié d'exécuter du code à distance sur un appareil en envoyant une annonce de routeur IPv6 spécialement conçue (RA, Router Advertisement).
Le problème est causé par le manque de vérification adéquate des données provenant de l'extérieur dans le processus chargé de traiter les requêtes IPv6 RA (Router Advertisement), ce qui a permis d'écrire des données au-delà des limites du tampon alloué et d'organiser l'exécution de votre code avec les privilèges root. La vulnérabilité se manifeste dans les branches MikroTik RouterOS v6.xx et v7.xx, lorsque les messages IPv6 RA sont activés dans les paramètres de réception des messages ("ipv6/settings/ set accept-router-advertisements=yes" ou "ipv6/settings/ set forward=no accept-router -advertisements=yes-if-forwarding-disabled").
La capacité d'exploiter la vulnérabilité dans la pratique a été démontrée lors du concours Pwn2Own à Toronto, au cours duquel les chercheurs qui ont identifié le problème ont reçu une récompense de 100,000 XNUMX $ pour un piratage en plusieurs étapes de l'infrastructure avec une attaque sur le routeur Mikrotik et son utilisation. comme tremplin pour attaquer d'autres composants du réseau local (ci-après l'attaque a pris le contrôle d'une imprimante Canon, où la vulnérabilité a également été révélée).
Les informations sur la vulnérabilité ont été initialement publiées avant que le correctif ne soit généré par le fabricant (0-day), mais les mises à jour de RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 ont déjà été publiées avec la vulnérabilité corrigée. Selon les informations du projet ZDI (Zero Day Initiative), qui organise le concours Pwn2Own, le constructeur a été notifié de la vulnérabilité le 29 décembre 2022. Les représentants de MikroTik affirment qu'ils n'ont pas reçu de notification et n'ont appris le problème que le 10 mai, après avoir envoyé le dernier avertissement concernant la divulgation d'informations. De plus, le rapport de vulnérabilité mentionne que des informations sur la nature du problème ont été transmises à un représentant de MikroTik en personne lors du concours Pwn2Own à Toronto, mais selon MikroTik, les employés de l'entreprise n'ont participé à l'événement à aucun titre.
Source: opennet.ru