มีการระบุช่องโหว่ร้ายแรง (CVE-2023-32154) ในระบบปฏิบัติการ RouterOS ที่ใช้ในเราเตอร์ MikroTik ซึ่งช่วยให้ผู้ใช้ที่ไม่ได้รับการตรวจสอบสิทธิ์สามารถรันโค้ดบนอุปกรณ์จากระยะไกลโดยส่งประกาศเกี่ยวกับเราเตอร์ IPv6 ที่สร้างขึ้นเป็นพิเศษ (RA, โฆษณาเราเตอร์)
ปัญหาเกิดจากการขาดการตรวจสอบความถูกต้องของข้อมูลที่มาจากภายนอกในกระบวนการที่รับผิดชอบในการประมวลผลคำขอ IPv6 RA (โฆษณาเราเตอร์) ซึ่งทำให้สามารถเขียนข้อมูลเกินขอบเขตของบัฟเฟอร์ที่จัดสรรและจัดระเบียบการดำเนินการโค้ดของคุณ ด้วยสิทธิ์รูท ช่องโหว่นี้จะปรากฏใน MikroTik RouterOS v6.xx และ v7.xx เมื่อเปิดใช้งานข้อความ IPv6 RA ในการตั้งค่าสำหรับรับข้อความ ("ipv6/settings/ set accept-router-advertisements=yes" หรือ "ipv6/settings/ ตั้งไปข้างหน้า = ไม่ยอมรับเราเตอร์ -advertisements = ใช่ถ้าปิดการส่งต่อ")
ความสามารถในการใช้ประโยชน์จากช่องโหว่ในทางปฏิบัติได้แสดงให้เห็นในการแข่งขัน Pwn2Own ในโตรอนโต ซึ่งในระหว่างนั้นนักวิจัยที่ระบุปัญหาได้รับรางวัล 100,000 ดอลลาร์สำหรับการแฮ็กโครงสร้างพื้นฐานหลายขั้นตอนด้วยการโจมตีเราเตอร์ Mikrotik และใช้มันเป็น กระดานกระโดดน้ำเพื่อโจมตีส่วนประกอบอื่น ๆ ของเครือข่ายท้องถิ่น (ต่อไปนี้การโจมตีเข้าควบคุมเครื่องพิมพ์ Canon ซึ่งมีการเปิดเผยช่องโหว่ด้วย)
ข้อมูลเกี่ยวกับช่องโหว่ถูกเผยแพร่ครั้งแรกก่อนที่ผู้ผลิตจะสร้างแพตช์ (0 วัน) แต่ปัจจุบัน การอัปเดต RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 ได้รับการเผยแพร่แล้วพร้อมการแก้ไขช่องโหว่ ตามข้อมูลจากโครงการ ZDI (Zero Day Initiative) ซึ่งจัดการแข่งขัน Pwn2Own ผู้ผลิตได้รับแจ้งเกี่ยวกับช่องโหว่ในวันที่ 29 ธันวาคม 2022 ตัวแทนของ MikroTik อ้างว่าพวกเขาไม่ได้รับการแจ้งเตือนและทราบเกี่ยวกับปัญหาในวันที่ 10 พฤษภาคมเท่านั้น หลังจากส่งคำเตือนครั้งสุดท้ายเกี่ยวกับการเปิดเผยข้อมูล นอกจากนี้ รายงานช่องโหว่ระบุว่าข้อมูลเกี่ยวกับธรรมชาติของปัญหาถูกส่งไปยังตัวแทนของ MikroTik ด้วยตนเองในระหว่างการแข่งขัน Pwn2Own ในโตรอนโต แต่จากข้อมูลของ MikroTik พนักงานของบริษัทไม่ได้มีส่วนร่วมในเหตุการณ์นี้ไม่ว่าจะในฐานะใดก็ตาม
ที่มา: opennet.ru