Misy vulnerability (CVE-2023-32154) hita ao amin'ny rafitra fiasan'ny RouterOS ampiasaina amin'ny router MikroTik, izay ahafahan'ny mpampiasa iray tsy voamarina manatanteraka lavitra ny kaody amin'ny fitaovana amin'ny alΓ lan'ny fandefasana doka momba ny router IPv6 (RA, Router Advertisement).
Ny olana dia vokatry ny tsy fisian'ny fanamarinana araka ny tokony ho izy ny angon-drakitra avy any ivelany ao amin'ny dingana tompon'andraikitra amin'ny fanodinana ny IPv6 RA (Router Advertisement) fangatahana, izay nahafahany manoratra angona mihoatra ny fetran'ny natokana ho buffer sy mandamina ny fanatanterahana ny kaody. miaraka amin'ny tombontsoa fototra. Ny vulnerability dia miseho amin'ny sampana MikroTik RouterOS v6.xx sy v7.xx, rehefa alefa ny IPv6 RA amin'ny toe-javatra handraisana hafatra IPv6 RA ("ipv6/settings/set accept-router-advertisements=yes" na "ipvXNUMX/settings/ amboary=tsy manaiky-router -advertisements=eny-raha-mampitsa-kilema").
Ny fahaizana manararaotra ny vulnerability amin'ny fampiharana dia naseho tamin'ny fifaninanana Pwn2Own tao Toronto, izay nahazo valisoa $100,000 ho an'ny hacks amin'ny fotodrafitrasa maromaro miaraka amin'ny fanafihana ny router Mikrotik ireo mpikaroka izay nahalala ny olana. solaitrabe ho an'ny fanafihana ny singa hafa amin'ny tambajotra eo an-toerana (taty aoriana dia nahazo ny fifehezana ny mpanonta Canon ny mpanafika, fampahalalana momba ny fahalemena izay nambara ihany koa).
Ny fampahalalana momba ny vulnerability dia navoaka voalohany talohan'ny namoronan'ny mpanamboatra ny patch (0 andro), fa ny RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 dia efa navoaka. Araka ny vaovao avy amin'ny tetikasa ZDI (Zero Day Initiative), izay mitantana ny fifaninanana Pwn2Own, dia nampahafantarina ny mpanamboatra ny vulnerability tamin'ny 29 Desambra 2022. Nilaza ny solontenan'ny MikroTik fa tsy nahazo fampandrenesana izy ireo ary vao nahalala ny olana tamin'ny 10 May, taorian'ny nandefasana ny fampitandremana farany. Ankoatr'izay, ny tatitry ny vulnerability dia milaza fa ny fampahalalana momba ny toetry ny olana dia nampitaina mivantana tamin'ny solontenan'ny MikroTik nandritra ny fifaninanana Pwn2Own tao Toronto, saingy araka ny filazan'ny MikroTik, ny mpiasa MikroTik dia tsy nandray anjara tamin'ny hetsika na inona na inona.
Source: opennet.ru