Një cenueshmëri kritike (CVE-2023-32154) është identifikuar në sistemin operativ RouterOS të përdorur në ruterat MikroTik, i cili lejon një përdorues të paautentikuar të ekzekutojë nga distanca kodin në një pajisje duke dërguar një njoftim për ruterin IPv6 të krijuar posaçërisht (RA, Reklamë Router).
Problemi shkaktohet nga mungesa e verifikimit të duhur të të dhënave që vijnë nga jashtë në procesin përgjegjës për përpunimin e kërkesave IPv6 RA (Ruter Advertisement), gjë që bëri të mundur shkrimin e të dhënave përtej kufijve të bufferit të caktuar dhe organizimin e ekzekutimit të kodit tuaj. me privilegje root. Dobësia shfaqet në degët MikroTik RouterOS v6.xx dhe v7.xx, kur mesazhet IPv6 RA janë aktivizuar në cilësimet për marrjen e mesazheve ("ipv6/settings/ set accept-router-advertisements=yes" ose "ipv6/settings/ set forward=nuk pranon-router -advertisements=po-nëse-forwarding-disabled").
Aftësia për të shfrytëzuar cenueshmërinë në praktikë u demonstrua në konkursin Pwn2Own në Toronto, gjatë së cilës studiuesit që identifikuan problemin morën një shpërblim prej 100,000 dollarësh për një hakim në shumë faza të infrastrukturës me një sulm në ruterin Mikrotik dhe duke e përdorur atë. si një trampolinë për të sulmuar komponentët e tjerë të rrjetit lokal (në tekstin e mëtejmë, sulmi mori kontrollin e një printeri Canon, ku u zbulua edhe dobësia).
Informacioni në lidhje me dobësinë u publikua fillimisht përpara se patch-i të gjenerohej nga prodhuesi (0-ditore), por përditësimet në RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 tashmë janë publikuar me dobësinë të rregulluar. Sipas informacioneve nga projekti ZDI (Zero Day Initiative), i cili mban konkursin Pwn2Own, prodhuesi u njoftua për cenueshmërinë më 29 dhjetor 2022. Përfaqësuesit e MikroTik pretendojnë se nuk kanë marrë njoftim dhe kanë mësuar për problemin vetëm më 10 maj, pasi kanë dërguar paralajmërimin përfundimtar për zbulimin e informacionit. Për më tepër, raporti i cenueshmërisë përmend se informacioni për natyrën e problemit iu transmetua personalisht një përfaqësuesi të MikroTik gjatë konkursit Pwn2Own në Toronto, por sipas MikroTik, punonjësit e kompanisë nuk morën pjesë në ngjarje në asnjë cilësi.
Burimi: opennet.ru