V operacijskem sistemu RouterOS, ki se uporablja v usmerjevalnikih MikroTik, je bila ugotovljena kritična ranljivost (CVE-2023-32154), ki omogoča nepreverjenemu uporabniku oddaljeno izvajanje kode na napravi s pošiljanjem posebej zasnovanega oglasa usmerjevalnika IPv6 (RA, Router Advertisement).
Težava nastane zaradi pomanjkanja ustreznega preverjanja podatkov, ki prihajajo od zunaj v procesu, ki je odgovoren za obdelavo zahtev IPv6 RA (Router Advertisement), kar je omogočilo zapisovanje podatkov izven meja dodeljenega medpomnilnika in organizacijo izvajanja vaše kode. s korenskimi pravicami. Ranljivost se pojavi v vejah MikroTik RouterOS v6.xx in v7.xx, ko je IPv6 RA omogočen v nastavitvah za prejemanje sporočil IPv6 RA (»ipv6/settings/ set accept-router-advertisements=yes« ali »ipvXNUMX/settings/ set forward=no accept-router -advertisements=yes-if-forwarding-disabled").
Možnost izkoriščanja ranljivosti v praksi se je pokazala na tekmovanju Pwn2Own v Torontu, na katerem so raziskovalci, ki so prepoznali težavo, prejeli nagrado 100,000 dolarjev za večstopenjsko vdor v infrastrukturo z napadom na usmerjevalnik Mikrotik in njegovo uporabo kot odskočna deska za napad na druge komponente lokalnega omrežja (kasneje so napadalci pridobili nadzor nad tiskalnikom Canon, informacija o ranljivosti v katerem je bila tudi razkrita).
Informacije o ranljivosti so bile prvotno objavljene, preden je proizvajalec ustvaril popravek (0-dan), vendar so bile že objavljene posodobitve RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8, ki odpravljajo ranljivost. Po podatkih projekta ZDI (Zero Day Initiative), ki vodi tekmovanje Pwn2Own, je bil proizvajalec o ranljivosti obveščen 29. decembra 2022. Predstavniki MikroTika trdijo, da niso prejeli obvestila in so za težavo izvedeli šele 10. maja, po poslanem opozorilu o končnem razkritju. Poleg tega je v poročilu o ranljivosti omenjeno, da so bile informacije o naravi težave osebno posredovane predstavniku MikroTik med tekmovanjem Pwn2Own v Torontu, vendar po navedbah MikroTika zaposleni v MikroTiku niso sodelovali na dogodku v nobeni vlogi.
Vir: opennet.ru