மைக்ரோடிக் ரவுட்டர்களில் பயன்படுத்தப்படும் ரூட்டர்ஓஎஸ் இயக்க முறைமையில் ஒரு முக்கியமான பாதிப்பு (CVE-2023-32154) அடையாளம் காணப்பட்டுள்ளது. இந்த பாதிப்பு, அங்கீகரிக்கப்படாத பயனர் சிறப்பாக வடிவமைக்கப்பட்ட IPv6 ரூட்டர் விளம்பரத்தை (RA) அனுப்புவதன் மூலம் சாதனத்தில் தொலைதூரத்தில் குறியீட்டை இயக்க அனுமதிக்கிறது.
IPv6 RA (Router Advertisement) கோரிக்கைகளைச் செயலாக்குவதற்குப் பொறுப்பான செயல்பாட்டில் உள்வரும் வெளிப்புறத் தரவின் சரியான சரிபார்ப்பு இல்லாததால் இந்தப் பிரச்சினை ஏற்படுகிறது. இது ஒதுக்கப்பட்ட இடையகத்திற்கு அப்பால் தரவை எழுதவும், ரூட் சலுகைகளுடன் தனிப்பயன் குறியீட்டை செயல்படுத்தவும் அனுமதித்தது. அமைப்புகளில் IPv6 RA செய்தி வரவேற்பு இயக்கப்பட்டிருக்கும் போது ("ipv6/settings/set accept-router-advertisements=yes" அல்லது "ipv6/settings/set forward=no accept-router-advertisements=yes-if-forwarding-disabled") MikroTik RouterOS v6.xx மற்றும் v7.xx கிளைகளில் பாதிப்பு வெளிப்படுகிறது.
டொராண்டோவில் நடந்த Pwn2Own போட்டியில் பாதிப்பின் சுரண்டல் நடைமுறையில் நிரூபிக்கப்பட்டது, இதன் போது சிக்கலைக் கண்டறிந்த ஆராய்ச்சியாளர்கள் பல-நிலை உள்கட்டமைப்பு ஹேக்கிற்கு $100,000 வெகுமதியைப் பெற்றனர், அதில் மிக்ரோடிக் ரூட்டரைத் தாக்குவதும், உள்ளூர் நெட்வொர்க்கின் பிற கூறுகள் மீதான தாக்குதல்களுக்கு ஒரு ஊக்கப் பலகையாக அதைப் பயன்படுத்துவதும் அடங்கும் (தாக்குதல் நடத்தியவர்கள் பின்னர் ஒரு கேனான் அச்சுப்பொறியின் மீது கட்டுப்பாட்டைப் பெற்றனர், அதில் பாதிப்பும் வெளிப்படுத்தப்பட்டது).
உற்பத்தியாளர் பூஜ்ஜிய-நாள் பேட்சை வெளியிடுவதற்கு முன்பே பாதிப்பு பற்றிய தகவல்கள் வெளியிடப்பட்டன, ஆனால் RouterOS 7.9.1, 6.49.8, 6.48.7 மற்றும் 7.10beta8 க்கான புதுப்பிப்புகள் இப்போது பாதிப்பை நிவர்த்தி செய்யும் வகையில் வெளியிடப்பட்டுள்ளன. Pwn2Own போட்டியை நடத்தும் ZDI (Zero Day Initiative) படி, உற்பத்தியாளருக்கு டிசம்பர் 29, 2022 அன்று பாதிப்பு குறித்து அறிவிக்கப்பட்டது. MikroTik பிரதிநிதிகள் தங்களுக்கு எந்த அறிவிப்பையும் பெறவில்லை என்றும், இறுதி வெளிப்படுத்தல் அறிவிப்பை அனுப்பிய பிறகு மே 10 அன்று மட்டுமே பிரச்சினை பற்றி அறிந்ததாகவும் கூறுகின்றனர். மேலும், டொராண்டோவில் நடந்த Pwn2Own போட்டியின் போது சிக்கலின் தன்மை குறித்த தகவல்கள் தனிப்பட்ட முறையில் MikroTik பிரதிநிதியுடன் பகிரப்பட்டதாக பாதிப்பு அறிக்கை குறிப்பிடுகிறது, ஆனால் MikroTik எந்த நிறுவன ஊழியர்களும் இந்த நிகழ்வில் எந்தத் திறனிலும் பங்கேற்கவில்லை என்று கூறுகிறது.
ஆதாரம்: opennet.ru
