MikroTik රවුටරවල භාවිතා වන RouterOS මෙහෙයුම් පද්ධතියේ තීරණාත්මක අවදානමක් (CVE-2023-32154) හඳුනාගෙන ඇත, එය සත්යාපනය නොකළ පරිශීලකයෙකුට විශේෂයෙන් නිර්මාණය කරන ලද IPv6 රවුටර දැන්වීමක් (RA, Router Advertisement) යැවීමෙන් උපාංගයේ දුරස්ථව කේතය ක්රියාත්මක කිරීමට ඉඩ සලසයි.
IPv6 RA (Router Advertisement) ඉල්ලීම් සැකසීම සඳහා වගකිව යුතු ක්රියාවලියේදී පිටතින් එන දත්ත නිසි ලෙස සත්යාපනය නොකිරීම නිසා ගැටළුව ඇති වී ඇති අතර එමඟින් වෙන් කර ඇති බෆරයේ සීමාවෙන් ඔබ්බට දත්ත ලිවීමට සහ ඔබේ කේතය ක්රියාත්මක කිරීම සංවිධානය කිරීමට හැකි විය. මූල වරප්රසාද සමඟ. IPv6 RA පණිවිඩ ලැබීමේ සිටුවම් තුළ IPv7 RA සබල කර ඇති විට MikroTik RouterOS v6.xx සහ v6.xx ශාඛා වල අවදානම දිස්වේ ("ipv6/settings/ set accept-router-advertisements=yes" හෝ "ipvXNUMX/settings/ set forward=පිළිගැනීම-රවුටරයක් නැත -advertisements=yes-if-forwarding-disabled").
ප්රායෝගිකව අවදානම ප්රයෝජනයට ගැනීමේ හැකියාව ටොරොන්ටෝ හි පැවති Pwn2Own තරඟයේදී ප්රදර්ශනය කරන ලද අතර, එම කාලය තුළ ගැටලුව හඳුනාගත් පර්යේෂකයන්ට Mikrotik රවුටරයට ප්රහාරයක් සමඟ යටිතල ව්යුහය අනවසරයෙන් ඇතුළු කර එය භාවිතා කිරීම සඳහා ඩොලර් 100,000 ක ත්යාගයක් ලැබුණි. ප්රාදේශීය ජාලයේ අනෙකුත් සංරචක වලට ප්රහාරයක් සඳහා උල්පතක් (පසුව ප්රහාරකයන් Canon මුද්රණ යන්ත්රයක පාලනය ලබා ගත් අතර, එහි ඇති අවදානම පිළිබඳ තොරතුරු ද අනාවරණය විය).
නිෂ්පාදකයා (දින 0) විසින් පැච් එක ජනනය කිරීමට පෙර අවදානම පිළිබඳ තොරතුරු මුලින් ප්රකාශයට පත් කරන ලදී, නමුත් අවදානම නිවැරදි කරන RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 යාවත්කාලීන කිරීම් දැනටමත් ප්රකාශයට පත් කර ඇත. Pwn2Own තරඟය පවත්වාගෙන යන ZDI (Zero Day Initiative) ව්යාපෘතියේ තොරතුරු වලට අනුව, 29 දෙසැම්බර් 2022 වන දින නිෂ්පාදකයාට අවදානම පිළිබඳව දැනුම් දෙන ලදී. MikroTik නියෝජිතයින් කියා සිටින්නේ තමන්ට දැනුම්දීමක් නොලැබුණු බවත්, අවසාන අනාවරණය කිරීමේ අනතුරු ඇඟවීම යැවීමෙන් පසුව මැයි 10 වන දින ගැටලුව ගැන දැනගත් බවත්ය. මීට අමතරව, ටොරොන්ටෝ හි පැවති Pwn2Own තරඟයේදී ගැටලුවේ ස්වභාවය පිළිබඳ තොරතුරු MikroTik නියෝජිතයෙකුට පුද්ගලිකව දැනුම් දුන් නමුත් MikroTik ට අනුව, MikroTik සේවකයින් කිසිදු හැකියාවකින් මෙම අවස්ථාවට සහභාගී නොවූ බව අවදානම් වාර්තාවේ සඳහන් වේ.
මූලාශ්රය: opennet.ru