Kerentanan kritis (CVE-2023-32154) telah diidentifikasi dalam sistem operasi RouterOS yang digunakan di router MikroTik, yang memungkinkan pengguna yang tidak diautentikasi untuk mengeksekusi kode dari jarak jauh pada perangkat dengan mengirimkan pengumuman router IPv6 yang dibuat khusus (RA, Iklan Router).
Masalahnya disebabkan oleh kurangnya verifikasi data yang datang dari luar dalam proses yang bertanggung jawab untuk memproses permintaan IPv6 RA (Router Advertisement), yang memungkinkan untuk menulis data di luar batas buffer yang dialokasikan dan mengatur eksekusi kode Anda dengan hak akses root. Kerentanan memanifestasikan dirinya di cabang MikroTik RouterOS v6.xx dan v7.xx, ketika pesan IPv6 RA diaktifkan di pengaturan untuk menerima pesan ("ipv6/settings/ set accept-router-advertisements=yes" atau "ipv6/settings/ tetapkan maju=tidak terima-router -iklan=ya-jika-penerusan-dinonaktifkan").
Kemampuan untuk mengeksploitasi kerentanan dalam praktik ditunjukkan pada kompetisi Pwn2Own di Toronto, di mana para peneliti yang mengidentifikasi masalah tersebut menerima hadiah sebesar $100,000 untuk peretasan infrastruktur multi-tahap dengan serangan pada router Mikrotik dan menggunakannya sebagai batu loncatan untuk menyerang komponen lain dari jaringan lokal (selanjutnya serangan mengambil alih printer Canon, di mana kerentanan juga terungkap).
Informasi tentang kerentanan awalnya diterbitkan sebelum tambalan dibuat oleh pabrikan (0-hari), tetapi pembaruan untuk RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 telah diterbitkan dengan kerentanan diperbaiki. Menurut informasi dari proyek ZDI (Zero Day Initiative), yang mengadakan kompetisi Pwn2Own, pabrikan telah diberitahu tentang kerentanan tersebut pada 29 Desember 2022. Perwakilan MikroTik mengklaim bahwa mereka tidak menerima pemberitahuan dan mengetahui masalah tersebut hanya pada 10 Mei, setelah mengirimkan peringatan terakhir tentang pengungkapan informasi. Selain itu, laporan kerentanan menyebutkan bahwa informasi tentang sifat masalah telah dikirimkan ke perwakilan MikroTik secara langsung selama kompetisi Pwn2Own di Toronto, tetapi menurut MikroTik, karyawan perusahaan tidak berpartisipasi dalam acara tersebut dalam kapasitas apa pun.
Sumber: opennet.ru