MikroTik maršrutizatoriuose naudojamoje operacinėje sistemoje RouterOS buvo nustatytas kritinis pažeidžiamumas (CVE-2023-32154), kuris leidžia neautentifikuotam vartotojui nuotoliniu būdu vykdyti kodą įrenginyje, siunčiant specialiai sukurtą IPv6 maršrutizatoriaus reklamą (RA, Router Advertisement).
Problema kyla dėl to, kad procese, atsakingame už IPv6 RA (Router Advertisement) užklausų apdorojimą, nebuvo tinkamai patikrinti iš išorės gaunami duomenys, dėl kurių buvo galima įrašyti duomenis už skirto buferio ribų ir organizuoti savo kodo vykdymą. su root teisėmis. Pažeidžiamumas atsiranda MikroTik RouterOS v6.xx ir v7.xx šakose, kai IPv6 RA yra įjungtas IPv6 RA pranešimų gavimo nustatymuose („ipv6/settings/ set accept-router-advertisements=yes“ arba „ipvXNUMX/settings/ set forward=no accept-router -advertisements=yes-if-forwarding-disabled").
Gebėjimas išnaudoti pažeidžiamumą praktiškai buvo pademonstruotas Toronte vykusiame konkurse Pwn2Own, kurio metu problemą nustatę mokslininkai gavo 100,000 XNUMX USD atlygį už kelių etapų infrastruktūros įsilaužimą, atakuojant Mikrotik maršrutizatorių ir naudojant jį kaip tramplinas atakai prieš kitus vietinio tinklo komponentus (vėliau užpuolikai įgijo „Canon“ spausdintuvo kontrolę, taip pat buvo atskleista informacija apie pažeidžiamumą).
Informacija apie pažeidžiamumą iš pradžių buvo paskelbta dar prieš gamintojui sukuriant pataisą (0 dienų), tačiau jau buvo paskelbti RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 atnaujinimai, kurie taiso pažeidžiamumą. Remiantis projekto ZDI (Zero Day Initiative), kuriame vykdomas konkursas Pwn2Own, informacija, gamintojui apie pažeidžiamumą buvo pranešta 29 m. gruodžio 2022 d. „MikroTik“ atstovai teigia, kad pranešimo negavo ir apie problemą sužinojo tik gegužės 10 d., išsiuntę galutinį įspėjimą apie atskleidimą. Be to, pažeidžiamumo ataskaitoje minima, kad informacija apie problemos pobūdį „MikroTik“ atstovui buvo perduota asmeniškai Toronte vykusio „Pwn2Own“ konkurso metu, tačiau „MikroTik“ teigimu, „MikroTik“ darbuotojai renginyje nedalyvavo jokiu būdu.
Šaltinis: opennet.ru
