Uma vulnerabilidade crítica (CVE-2023-32154) foi identificada no sistema operacional RouterOS usado em roteadores MikroTik, que permite que um usuário não autenticado execute remotamente código no dispositivo enviando um anúncio de roteador IPv6 especialmente projetado (RA, Router Advertisement).
O problema é causado pela falta de verificação adequada dos dados vindos de fora no processo responsável pelo processamento de solicitações IPv6 RA (Router Advertisement), o que possibilitou gravar dados além dos limites do buffer alocado e organizar a execução do seu código com privilégios de root. A vulnerabilidade aparece nas ramificações MikroTik RouterOS v6.xx e v7.xx, quando IPv6 RA está habilitado nas configurações para recebimento de mensagens IPv6 RA (“ipv6/settings/ set accept-router-advertisements=yes” ou “ipvXNUMX/settings/ definir forward=no accept-router -advertisements=yes-if-forwarding-disabled").
A possibilidade de explorar a vulnerabilidade na prática foi demonstrada na competição Pwn2Own em Toronto, durante a qual os pesquisadores que identificaram o problema receberam uma recompensa de US$ 100,000 mil por um hacking em vários estágios da infraestrutura com um ataque ao roteador Mikrotik e usando-o como um trampolim para um ataque a outros componentes da rede local (posteriormente os invasores obtiveram o controle de uma impressora Canon, cujas informações sobre a vulnerabilidade também foram divulgadas).
As informações sobre a vulnerabilidade foram publicadas inicialmente antes do patch ser gerado pelo fabricante (0 dia), mas as atualizações do RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 que corrigem a vulnerabilidade já foram publicadas. Segundo informações do projeto ZDI (Zero Day Initiative), que realiza a competição Pwn2Own, a fabricante foi notificada da vulnerabilidade no dia 29 de dezembro de 2022. Representantes da MikroTik afirmam que não receberam notificação e só tomaram conhecimento do problema no dia 10 de maio, após enviar o aviso de divulgação final. Além disso, o relatório de vulnerabilidade menciona que informações sobre a natureza do problema foram comunicadas pessoalmente a um representante da MikroTik durante a competição Pwn2Own em Toronto, mas de acordo com a MikroTik, os funcionários da MikroTik não participaram do evento de nenhuma forma.
Fonte: opennet.ru