En kritisk sårbarhet (CVE-2023-32154) har identifierats i operativsystemet RouterOS som används i MikroTik-routrar, vilket gör att en oautentiserad användare kan fjärrexekvera kod på en enhet genom att skicka ett speciellt utformat IPv6-routermeddelande (RA, Router Advertisement).
Problemet orsakas av bristen på korrekt verifiering av data som kommer utifrån i processen som är ansvarig för bearbetning av IPv6 RA (Router Advertisement)-förfrågningar, vilket gjorde det möjligt att skriva data utanför gränserna för den tilldelade bufferten och organisera exekveringen av din kod med root-privilegier. Sårbarheten visar sig i grenarna av MikroTik RouterOS v6.xx och v7.xx, när IPv6 RA-meddelanden är aktiverade i inställningarna för att ta emot meddelanden ("ipv6/settings/set accept-router-advertisements=yes" eller "ipv6/settings/set forward=no accept-router-advertisements-for=yes").
Möjligheten att utnyttja sårbarheten i praktiken demonstrerades vid Pwn2Own-tävlingen i Toronto, under vilken forskarna som identifierade problemet fick en belöning på $100,000 XNUMX för ett flerstegshack av infrastrukturen med en attack mot Mikrotik-routern och använde den som språngbräda för att attackera andra komponenter i det lokala nätverket (angriparen fick senare kontroll över sårbarheten hos Canon, vilken också fick kontroll över sårbarheten hos Canon).
Information om sårbarheten publicerades ursprungligen innan patchen genererades av tillverkaren (0-dagars), men uppdateringar av RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 har redan publicerats med sårbarheten fixad. Enligt information från ZDI-projektet (Zero Day Initiative), som håller i tävlingen Pwn2Own, meddelades tillverkaren om sårbarheten den 29 december 2022. Representanter för MikroTik hävdar att de inte fick något meddelande och fick veta om problemet först den 10 maj, efter att ha skickat den sista varningen om informationsutlämnande. Dessutom nämns i sårbarhetsrapporten att information om problemets karaktär överfördes personligen till en MikroTik-representant under Pwn2Own-tävlingen i Toronto, men enligt MikroTik deltog inte företagets anställda i evenemanget i någon egenskap.
Källa: opennet.ru