W systemie operacyjnym RouterOS używanym w routerach MikroTik zidentyfikowano krytyczną lukę (CVE-2023-32154), która umożliwia nieuwierzytelnionemu użytkownikowi zdalne wykonanie kodu na urządzeniu poprzez wysłanie specjalnie spreparowanego ogłoszenia routera IPv6 (RA, Router Advertisement).
Problem jest spowodowany brakiem odpowiedniej weryfikacji danych przychodzących z zewnątrz w procesie odpowiedzialnym za przetwarzanie żądań IPv6 RA (Router Advertisement), co umożliwiło zapis danych poza granice przydzielonego bufora i uporządkowanie wykonania Twojego kodu z uprawnieniami roota. Luka objawia się w gałęziach MikroTik RouterOS v6.xx i v7.xx, gdy wiadomości IPv6 RA są włączone w ustawieniach odbierania wiadomości („ipv6/settings/ set accept-router-advertisements=yes” lub „ipv6/settings/ set forward=no accept-router -advertisements=yes-if-forwarding-disabled").
Możliwość wykorzystania podatności w praktyce została zademonstrowana na konkursie Pwn2Own w Toronto, podczas którego badacze, którzy zidentyfikowali problem, otrzymali nagrodę w wysokości 100,000 XNUMX $ za wieloetapowe włamanie do infrastruktury z atakiem na router Mikrotik i wykorzystanie go jako odskocznię do ataku na inne komponenty sieci lokalnej (dalej atakujący przejął kontrolę nad drukarką Canon, gdzie również ujawniono lukę).
Informacja o podatności została pierwotnie opublikowana przed wygenerowaniem łaty przez producenta (0-day), ale aktualizacje RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 zostały już opublikowane z naprawioną luką. Według informacji z projektu ZDI (Zero Day Initiative), który organizuje konkurs Pwn2Own, producent został powiadomiony o podatności 29 grudnia 2022 roku. Przedstawiciele MikroTika twierdzą, że nie otrzymali powiadomienia, a o problemie dowiedzieli się dopiero 10 maja, po wysłaniu ostatecznego ostrzeżenia o ujawnieniu informacji. Ponadto w raporcie podatności wspomniano, że informacja o naturze problemu została przekazana przedstawicielowi MikroTik osobiście podczas zawodów Pwn2Own w Toronto, ale według MikroTik pracownicy firmy nie brali udziału w zdarzeniu w jakimkolwiek charakterze.
Źródło: opennet.ru