В операційній системі RouterOS, що застосовується в маршрутизаторах MikroTik, виявлено критичну вразливість (CVE-2023-32154), що дозволяє неавтентифікованому користувачеві віддалено виконати код на пристрої через відправлення спеціально оформленого анонсу маршрутизатора IPv6 (RA, Router Advert).
Проблема викликана відсутністю належної перевірки даних, що надходять ззовні в процесі, що відповідає за обробку запитів IPv6 RA (Router Advertisement), що дозволило домогтися запису даних за кордон виділеного буфера і організувати виконання свого коду з привілеями root. Вразливість проявляється у гілках MikroTik RouterOS v6.xx та v7.xx, при включенні в налаштуваннях отримання повідомлень IPv6 RA («ipv6/settings/set accept-router-advertisements=yes» або «ipv6/settings/set forward=no accept-router -advertisements=yes-if-forwarding-disabled»).
Можливість експлуатації вразливості на практиці була продемонстрована на змаганнях Pwn2Own в Торонто, в ході яких виявили проблему дослідники отримали винагороду, розміром $100,000 за багатоетапний злом інфраструктури з атакою на маршрутизатор Mikrotik і використанням його як плацдарм для атаки на інші компоненти отримали управління над принтером Canon, відомості про вразливість, в якому також розкрито).
Інформація про вразливість спочатку була опублікована до формування виправлення виробником (0-day), але в даний час вже опубліковано оновлення RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 з усуненням уразливості. За інформацією від проекту ZDI (Zero Day Initiative), що проводить змагання Pwn2Own, виробнику було повідомлено про вразливість 29 грудня 2022 року. Представники MikroTik стверджують, що не отримували повідомлення і дізналися про проблему лише 10 травня після відправки фінального попередження про розкриття інформації. Крім того, у звіті про вразливість згадується, що інформацію про суть проблеми було передано представнику MikroTik в особистому порядку під час проведення змагань Pwn2Own у Торонто, але за заявою MikroTik співробітники компанії не брали участі у заході в жодній якості.
Джерело: opennet.ru