Er is een kritieke kwetsbaarheid (CVE-2023-32154) geïdentificeerd in het RouterOS-besturingssysteem dat wordt gebruikt in MikroTik-routers, waardoor een niet-geverifieerde gebruiker op afstand code op het apparaat kan uitvoeren door een speciaal ontworpen IPv6-routeradvertentie (RA, Router Advertentie) te verzenden.
Het probleem wordt veroorzaakt door het ontbreken van een goede verificatie van gegevens die van buitenaf komen in het proces dat verantwoordelijk is voor de verwerking van IPv6 RA-verzoeken (Router Advertising), waardoor het mogelijk werd gegevens buiten de grenzen van de toegewezen buffer te schrijven en de uitvoering van uw code te organiseren met rootrechten. De kwetsbaarheid doet zich voor in de takken MikroTik RouterOS v6.xx en v7.xx, wanneer IPv6 RA is ingeschakeld in de instellingen voor het ontvangen van IPv6 RA-berichten (“ipv6/settings/set accept-router-advertisements=yes” of “ipvXNUMX/settings/ set forward=no accept-router -advertisements=yes-if-forwarding-disabled").
De mogelijkheid om de kwetsbaarheid in de praktijk te misbruiken werd gedemonstreerd tijdens de Pwn2Own-wedstrijd in Toronto, waarbij de onderzoekers die het probleem identificeerden een beloning van $ 100,000 ontvingen voor een meerfasige hack van de infrastructuur met een aanval op de Mikrotik-router en het gebruik ervan als een springplank voor een aanval op andere componenten van het lokale netwerk (latere aanvallers kregen controle over een Canon-printer, waarin ook informatie over de kwetsbaarheid werd onthuld).
Informatie over de kwetsbaarheid werd in eerste instantie gepubliceerd voordat de patch door de fabrikant werd gegenereerd (0-dag), maar RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8-updates die de kwetsbaarheid verhelpen, zijn al gepubliceerd. Volgens informatie van het ZDI-project (Zero Day Initiative), dat de Pwn2Own-wedstrijd organiseert, werd de fabrikant op 29 december 2022 op de hoogte gebracht van de kwetsbaarheid. Vertegenwoordigers van MikroTik beweren dat ze geen melding hebben ontvangen en pas op 10 mei over het probleem hoorden, nadat ze de definitieve openbaarmakingswaarschuwing hadden verzonden. Bovendien vermeldt het kwetsbaarheidsrapport dat informatie over de aard van het probleem persoonlijk werd gecommuniceerd aan een MikroTik-vertegenwoordiger tijdens de Pwn2Own-wedstrijd in Toronto, maar volgens MikroTik namen MikroTik-werknemers in geen enkele hoedanigheid deel aan het evenement.
Bron: opennet.ru