È stata identificata una vulnerabilità critica (CVE-2023-32154) nel sistema operativo RouterOS utilizzato nei router MikroTik, che consente a un utente non autenticato di eseguire in remoto codice sul dispositivo inviando un annuncio del router IPv6 appositamente progettato (RA, Router Advertisement).
Il problema è causato dalla mancanza di un'adeguata verifica dei dati provenienti dall'esterno nel processo responsabile dell'elaborazione delle richieste IPv6 RA (Router Advertisement), che ha reso possibile scrivere dati oltre i limiti del buffer allocato e organizzare l'esecuzione del codice con privilegi di root. La vulnerabilità appare nei rami MikroTik RouterOS v6.xx e v7.xx, quando IPv6 RA è abilitato nelle impostazioni per la ricezione dei messaggi IPv6 RA (“ipv6/settings/ set Accept-router-advertisements=yes” o “ipvXNUMX/settings/ set forward=no accetta-router -advertisements=sì-se-inoltro-disabilitato").
La possibilità di sfruttare concretamente la vulnerabilità è stata dimostrata in occasione del concorso Pwn2Own a Toronto, durante il quale i ricercatori che hanno individuato il problema hanno ricevuto una ricompensa di 100,000 dollari per un hacking in più fasi dell'infrastruttura con un attacco al router Mikrotik e utilizzandolo come un trampolino di lancio per un attacco ad altri componenti della rete locale (successivamente gli aggressori hanno preso il controllo di una stampante Canon, nella quale sono state anche divulgate informazioni sulla vulnerabilità).
Le informazioni sulla vulnerabilità sono state inizialmente pubblicate prima che la patch fosse generata dal produttore (0-day), ma sono già stati pubblicati gli aggiornamenti di RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 che risolvono la vulnerabilità. Secondo le informazioni del progetto ZDI (Zero Day Initiative), che gestisce il concorso Pwn2Own, il produttore è stato informato della vulnerabilità il 29 dicembre 2022. I rappresentanti di MikroTik affermano di non aver ricevuto alcuna notifica e di essere venuti a conoscenza del problema solo il 10 maggio, dopo aver inviato l'avviso di divulgazione finale. Inoltre, nel rapporto sulla vulnerabilità viene menzionato che le informazioni sulla natura del problema sono state comunicate personalmente a un rappresentante MikroTik durante il concorso Pwn2Own a Toronto, ma secondo MikroTik i dipendenti MikroTik non hanno partecipato in alcun modo all'evento.
Fonte: opennet.ru