Mikilvægur varnarleysi (CVE-2023-32154) hefur fundist í RouterOS stýrikerfinu sem notað er í MikroTik beinum, sem gerir óstaðfestum notanda kleift að keyra kóða á tækinu með fjarstýringu með því að senda sérhannaða IPv6 leiðarauglýsingu (RA, Router Advertisement).
Vandamálið stafar af skorti á réttri sannprófun á gögnum sem koma utan frá í ferlinu sem ber ábyrgð á vinnslu IPv6 RA (Router Advertisement) beiðnum, sem gerði það mögulegt að skrifa gögn út fyrir mörk úthlutaðs biðminni og skipuleggja framkvæmd kóðans þíns með rótarréttindi. Varnarleysið birtist í MikroTik RouterOS v6.xx og v7.xx útibúunum, þegar IPv6 RA er virkt í stillingum fyrir móttöku IPv6 RA skilaboða ("ipv6/settings/ set accept-router-advertisements=yes" eða "ipvXNUMX/settings/ setja fram=nei samþykkja-beini -auglýsingar=já-ef-framsending-óvirkt").
Möguleikinn á að nýta sér varnarleysið í reynd var sýndur í Pwn2Own keppninni í Toronto, þar sem rannsakendur sem greindu vandamálið fengu 100,000 dollara verðlaun fyrir fjölþrepa hakk á innviðina með árás á Mikrotik beininn og nota hann sem stökkpallur fyrir árás á aðra þætti staðarnetsins (síðar náðu árásarmenn stjórn á Canon prentara, upplýsingar um varnarleysið þar sem einnig var birt).
Upplýsingar um varnarleysið voru upphaflega birtar áður en plásturinn var búinn til af framleiðanda (0-dagur), en RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 uppfærslur sem laga varnarleysið hafa þegar verið birtar. Samkvæmt upplýsingum frá ZDI (Zero Day Initiative) verkefninu, sem rekur Pwn2Own keppnina, var framleiðandanum tilkynnt um varnarleysið þann 29. desember 2022. Fulltrúar MikroTik halda því fram að þeir hafi ekki fengið tilkynningu og hafi aðeins lært um vandamálið 10. maí, eftir að hafa sent lokaviðvörunina um upplýsingagjöf. Auk þess er minnst á varnarleysisskýrsluna að upplýsingum um eðli vandans hafi verið komið á framfæri við fulltrúa MikroTik í eigin persónu á Pwn2Own keppninni í Toronto, en samkvæmt MikroTik tóku starfsmenn MikroTik ekki þátt í viðburðinum á neinn hátt.
Heimild: opennet.ru