MikroTik ரவுட்டர்களில் பயன்படுத்தப்படும் RouterOS இயக்க முறைமையில் ஒரு முக்கியமான பாதிப்பு (CVE-2023-32154) கண்டறியப்பட்டுள்ளது, இது ஒரு அங்கீகரிக்கப்படாத பயனரை சிறப்பாக வடிவமைக்கப்பட்ட IPv6 ரூட்டர் அறிவிப்பை (RA, Router Advertisement) அனுப்புவதன் மூலம் சாதனத்தில் தொலைநிலையில் குறியீட்டை இயக்க அனுமதிக்கிறது.
IPv6 RA (Router Advertisement) கோரிக்கைகளைச் செயலாக்குவதற்குப் பொறுப்பான செயல்பாட்டில் வெளியில் இருந்து வரும் தரவின் சரியான சரிபார்ப்பு இல்லாததால் சிக்கல் ஏற்படுகிறது, இது ஒதுக்கப்பட்ட இடையகத்தின் எல்லைக்கு அப்பால் தரவை எழுதுவதையும் உங்கள் குறியீட்டை செயல்படுத்துவதை ஒழுங்கமைப்பதையும் சாத்தியமாக்கியது. ரூட் சலுகைகளுடன். இந்த பாதிப்பு MikroTik RouterOS v6.xx மற்றும் v7.xx கிளைகளில் வெளிப்படுகிறது, IPv6 RA செய்திகள் செய்திகளைப் பெறுவதற்கான அமைப்புகளில் இயக்கப்பட்டிருக்கும் போது ("ipv6/settings/ set accept-router-advertisements=yes" அல்லது "ipv6/settings/ செட் பார்வர்டு=ஏற்றுக்கொள்ளும்-ரௌட்டர் இல்லை -விளம்பரங்கள்=ஆம்-இஃப்-ஃபார்வர்டிங்-டிசபிள்ட்").
நடைமுறையில் உள்ள பாதிப்பைப் பயன்படுத்திக் கொள்ளும் திறன் டொராண்டோவில் நடந்த Pwn2Own போட்டியில் நிரூபிக்கப்பட்டது, இதன் போது சிக்கலைக் கண்டறிந்த ஆராய்ச்சியாளர்கள் Mikrotik ரூட்டரை தாக்கி உள்கட்டமைப்பை பல கட்ட ஹேக்கிங் செய்ததற்காக $100,000 வெகுமதியைப் பெற்றனர். உள்ளூர் நெட்வொர்க்கின் பிற கூறுகளைத் தாக்க ஒரு ஊஞ்சல் பலகை (இனிமேல் தாக்குதல் ஒரு கேனான் அச்சுப்பொறியைக் கட்டுப்படுத்தியது, அங்கு பாதிப்பும் வெளிப்பட்டது).
பேட்ச் தயாரிப்பாளரால் (0-நாள்) உருவாக்கப்படுவதற்கு முன்பே பாதிப்பு பற்றிய தகவல் முதலில் வெளியிடப்பட்டது, ஆனால் RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8க்கான புதுப்பிப்புகள் பாதிப்பு சரி செய்யப்பட்டு ஏற்கனவே வெளியிடப்பட்டுள்ளன. Pwn2Own போட்டியை நடத்தும் ZDI (Zero Day Initiative) திட்டத்தின் தகவலின்படி, டிசம்பர் 29, 2022 அன்று பாதிப்பு குறித்து உற்பத்தியாளருக்கு அறிவிக்கப்பட்டது. MikroTik இன் பிரதிநிதிகள், தங்களுக்கு அறிவிப்பைப் பெறவில்லை என்றும், தகவல் வெளிப்படுத்தல் குறித்த இறுதி எச்சரிக்கையை அனுப்பிய பிறகு, மே 10 அன்றுதான் சிக்கலைப் பற்றி அறிந்தோம் என்றும் கூறுகின்றனர். கூடுதலாக, பாதிப்பு அறிக்கை, டொராண்டோவில் நடந்த Pwn2Own போட்டியின் போது, MikroTik பிரதிநிதிக்கு நேரில், பிரச்சனையின் தன்மை பற்றிய தகவல் அனுப்பப்பட்டது, ஆனால் MikroTik இன் படி, நிறுவன ஊழியர்கள் எந்த வகையிலும் நிகழ்வில் பங்கேற்கவில்லை.
ஆதாரம்: opennet.ru