MikroTik ಮಾರ್ಗನಿರ್ದೇಶಕಗಳಲ್ಲಿ ಬಳಸಲಾಗುವ RouterOS ಆಪರೇಟಿಂಗ್ ಸಿಸ್ಟಂನಲ್ಲಿ ನಿರ್ಣಾಯಕ ದುರ್ಬಲತೆಯನ್ನು (CVE-2023-32154) ಗುರುತಿಸಲಾಗಿದೆ, ಇದು ವಿಶೇಷವಾಗಿ ವಿನ್ಯಾಸಗೊಳಿಸಿದ IPv6 ರೂಟರ್ ಜಾಹೀರಾತು (RA, ರೂಟರ್ ಜಾಹೀರಾತು) ಅನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ಸಾಧನದಲ್ಲಿ ರಿಮೋಟ್ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ದೃಢೀಕರಿಸದ ಬಳಕೆದಾರರನ್ನು ಅನುಮತಿಸುತ್ತದೆ.
IPv6 RA (ರೂಟರ್ ಜಾಹೀರಾತು) ವಿನಂತಿಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಗೊಳಿಸಲು ಜವಾಬ್ದಾರರಾಗಿರುವ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಹೊರಗಿನಿಂದ ಬರುವ ಡೇಟಾದ ಸರಿಯಾದ ಪರಿಶೀಲನೆಯ ಕೊರತೆಯಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ, ಇದು ನಿಯೋಜಿಸಲಾದ ಬಫರ್ನ ಮಿತಿಯನ್ನು ಮೀರಿ ಡೇಟಾವನ್ನು ಬರೆಯಲು ಮತ್ತು ನಿಮ್ಮ ಕೋಡ್ನ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಸಂಘಟಿಸಲು ಸಾಧ್ಯವಾಗಿಸಿತು. ಮೂಲ ಸವಲತ್ತುಗಳೊಂದಿಗೆ. IPv6 RA ಸಂದೇಶಗಳನ್ನು ಸ್ವೀಕರಿಸಲು ಸೆಟ್ಟಿಂಗ್ಗಳಲ್ಲಿ IPv7 RA ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ MikroTik RouterOS v6.xx ಮತ್ತು v6.xx ಶಾಖೆಗಳಲ್ಲಿ ದುರ್ಬಲತೆ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ (“ipv6/settings/ set accept-router-advertisements=yes” ಅಥವಾ “ipvXNUMX/settings/ ಮುಂದಕ್ಕೆ ಹೊಂದಿಸಿ = ಸ್ವೀಕರಿಸಲು-ರೂಟರ್ ಇಲ್ಲ - ಜಾಹೀರಾತುಗಳು = yes-if-forwarding-disabled").
ಪ್ರಾಯೋಗಿಕವಾಗಿ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಸಾಧ್ಯತೆಯನ್ನು ಟೊರೊಂಟೊದಲ್ಲಿ ನಡೆದ Pwn2Own ಸ್ಪರ್ಧೆಯಲ್ಲಿ ಪ್ರದರ್ಶಿಸಲಾಯಿತು, ಈ ಸಮಯದಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಗುರುತಿಸಿದ ಸಂಶೋಧಕರು Mikrotik ರೌಟರ್ನ ಮೇಲಿನ ದಾಳಿಯೊಂದಿಗೆ ಮೂಲಸೌಕರ್ಯವನ್ನು ಬಹು-ಹಂತದ ಹ್ಯಾಕಿಂಗ್ಗಾಗಿ $100,000 ಬಹುಮಾನವನ್ನು ಪಡೆದರು ಮತ್ತು ಅದನ್ನು ಬಳಸಿದರು. ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್ನ ಇತರ ಘಟಕಗಳ ಮೇಲಿನ ದಾಳಿಯ ಸ್ಪ್ರಿಂಗ್ಬೋರ್ಡ್ (ನಂತರ ದಾಳಿಕೋರರು ಕ್ಯಾನನ್ ಪ್ರಿಂಟರ್ನ ನಿಯಂತ್ರಣವನ್ನು ಪಡೆದರು, ಅದರಲ್ಲಿ ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಸಹ ಬಹಿರಂಗಪಡಿಸಲಾಯಿತು).
ತಯಾರಕರಿಂದ (0-ದಿನ) ಪ್ಯಾಚ್ ಅನ್ನು ರಚಿಸುವ ಮೊದಲು ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಆರಂಭದಲ್ಲಿ ಪ್ರಕಟಿಸಲಾಗಿದೆ, ಆದರೆ ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸುವ ರೂಟರ್ಒಎಸ್ 7.9.1, 6.49.8, 6.48.7, 7.10beta8 ನವೀಕರಣಗಳನ್ನು ಈಗಾಗಲೇ ಪ್ರಕಟಿಸಲಾಗಿದೆ. Pwn2Own ಸ್ಪರ್ಧೆಯನ್ನು ನಡೆಸುವ ZDI (Zero Day Initiative) ಯೋಜನೆಯ ಮಾಹಿತಿಯ ಪ್ರಕಾರ, ತಯಾರಕರಿಗೆ ಡಿಸೆಂಬರ್ 29, 2022 ರಂದು ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ತಿಳಿಸಲಾಯಿತು. MikroTik ಪ್ರತಿನಿಧಿಗಳು ತಾವು ಅಧಿಸೂಚನೆಯನ್ನು ಸ್ವೀಕರಿಸಲಿಲ್ಲ ಮತ್ತು ಅಂತಿಮ ಬಹಿರಂಗಪಡಿಸುವಿಕೆಯ ಎಚ್ಚರಿಕೆಯನ್ನು ಕಳುಹಿಸಿದ ನಂತರ ಮೇ 10 ರಂದು ಸಮಸ್ಯೆಯ ಬಗ್ಗೆ ತಿಳಿದುಕೊಂಡಿದ್ದೇವೆ ಎಂದು ಹೇಳಿಕೊಳ್ಳುತ್ತಾರೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಟೊರೊಂಟೊದಲ್ಲಿ ನಡೆದ Pwn2Own ಸ್ಪರ್ಧೆಯ ಸಮಯದಲ್ಲಿ ಸಮಸ್ಯೆಯ ಸ್ವರೂಪದ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಮೈಕ್ರೊಟಿಕ್ ಪ್ರತಿನಿಧಿಗೆ ವೈಯಕ್ತಿಕವಾಗಿ ತಿಳಿಸಲಾಗಿದೆ ಎಂದು ದುರ್ಬಲತೆಯ ವರದಿಯು ಉಲ್ಲೇಖಿಸುತ್ತದೆ, ಆದರೆ MikroTik ಪ್ರಕಾರ, MikroTik ನೌಕರರು ಯಾವುದೇ ಸಾಮರ್ಥ್ಯದಲ್ಲಿ ಈವೆಂಟ್ನಲ್ಲಿ ಭಾಗವಹಿಸಲಿಲ್ಲ.
ಮೂಲ: opennet.ru