פגיעות בנתבי MikroTik המובילה לביצוע קוד בעת עיבוד IPv6 RA

זוהתה פגיעות קריטית (CVE-2023-32154) במערכת ההפעלה RouterOS המשמשת בנתבי MikroTik, המאפשרת למשתמש לא מאומת להפעיל מרחוק קוד במכשיר על ידי שליחת הודעת נתב IPv6 בעלת מבנה מיוחד (RA, Router Advertisement).

הבעיה נגרמת מהיעדר אימות נכון של נתונים המגיעים מבחוץ בתהליך האחראי על עיבוד בקשות IPv6 RA (פרסום נתב), שאיפשר לכתוב נתונים מעבר לגבולות המאגר המוקצה ולארגן את ביצוע הקוד שלך עם הרשאות שורש. הפגיעות מתבטאת בסניפי MikroTik RouterOS v6.xx ו-v7.xx, כאשר הודעות IPv6 RA מופעלות בהגדרות לקבלת הודעות ("ipv6/settings/ set accept-router-advertisements=yes" או "ipv6/settings/ set forward=no accept-router -advertisements=yes-if-forwarding-disabled").

היכולת לנצל את הפגיעות בפועל הוכחה בתחרות Pwn2Own בטורונטו, במהלכה קיבלו החוקרים שזיהו את הבעיה פרס של 100,000$ עבור פריצה רב-שלבית של התשתית עם התקפה על הנתב Mikrotik ושימוש בו כ. קרש קפיצה לתקוף רכיבים אחרים של הרשת המקומית (להלן התקיפה השתלטה על מדפסת Canon, שם גם נחשפה הפגיעות).

מידע על הפגיעות פורסם במקור לפני יצירת התיקון על ידי היצרן (0-day), אך עדכונים ל-RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 כבר פורסמו כשהפגיעות תוקנה. על פי מידע מפרויקט ZDI (Zero Day Initiative), המקיים את תחרות Pwn2Own, היצרן קיבל הודעה על הפגיעות ב-29 בדצמבר 2022. נציגי MikroTik טוענים כי לא קיבלו הודעה ונודע להם על הבעיה רק ​​ב-10 במאי, לאחר שליחת האזהרה הסופית על חשיפת מידע. בנוסף, דו"ח הפגיעות מזכיר שמידע על מהות הבעיה הועבר לנציג של MikroTik באופן אישי במהלך תחרות Pwn2Own בטורונטו, אך לדברי MikroTik, עובדי החברה לא השתתפו באירוע בשום מעמד.

מקור: OpenNet.ru