En kritisk sårbarhet (CVE-2023-32154) er identifisert i RouterOS-operativsystemet som brukes i MikroTik-rutere, som lar en uautentisert bruker eksternt utføre kode på en enhet ved å sende en spesiallaget IPv6-ruterkunngjøring (RA, Router Advertisement).
Problemet er forårsaket av mangelen på riktig verifisering av data som kommer utenfra i prosessen som er ansvarlig for å behandle IPv6 RA (Router Advertisement)-forespørsler, som gjorde det mulig å skrive data utenfor grensene til den tildelte bufferen og organisere utførelsen av koden din. med root-privilegier. Sårbarheten manifesterer seg i MikroTik RouterOS v6.xx og v7.xx grenene, når IPv6 RA-meldinger er aktivert i innstillingene for mottak av meldinger ("ipv6/settings/ set accept-router-advertisements=yes" eller "ipv6/settings/ set forward=no accept-router -advertisements=yes-hvis-videresending-deaktivert").
Evnen til å utnytte sårbarheten i praksis ble demonstrert under Pwn2Own-konkurransen i Toronto, hvor forskerne som identifiserte problemet mottok en belønning på 100,000 XNUMX dollar for en flertrinns hacking av infrastrukturen med et angrep på Mikrotik-ruteren og bruk den som et springbrett for å angripe andre komponenter i det lokale nettverket (heretter tok angrepet kontroll over en Canon-skriver, hvor sårbarheten også ble avslørt).
Informasjon om sårbarheten ble opprinnelig publisert før oppdateringen ble generert av produsenten (0-dagers), men oppdateringer til RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 har allerede blitt publisert med sikkerhetsproblemet fikset. I følge informasjon fra ZDI-prosjektet (Zero Day Initiative), som holder Pwn2Own-konkurransen, ble produsenten varslet om sårbarheten 29. desember 2022. Representanter for MikroTik hevder at de ikke mottok varsling og fikk vite om problemet først 10. mai, etter å ha sendt den siste advarselen om informasjonsutlevering. I tillegg nevner sårbarhetsrapporten at informasjon om problemets art ble overført til en MikroTik-representant personlig under Pwn2Own-konkurransen i Toronto, men ifølge MikroTik deltok ikke selskapets ansatte i arrangementet på noen måte.
Kilde: opennet.ru