MikroTik routerlarida ishlatiladigan RouterOS operatsion tizimida muhim zaiflik (CVE-2023-32154) aniqlandi. Ushbu zaiflik autentifikatsiya qilinmagan foydalanuvchiga maxsus ishlab chiqilgan IPv6 Router reklamasini (RA) yuborish orqali qurilmadagi kodni masofadan bajarish imkonini beradi.
Muammo IPv6 RA (Router Advertisement) so'rovlarini qayta ishlash uchun mas'ul bo'lgan jarayonda kiruvchi tashqi ma'lumotlarning to'g'ri tekshirilmaganligi bilan bog'liq. Bu ma'lumotlarni ajratilgan buferdan tashqarida yozish va ildiz huquqlari bilan maxsus kodni bajarish imkonini berdi. Sozlamalarda ("ipv6/settings/set accept-router-advertisements=ha" yoki "ipv6/settings/set forward=no accept-router-advertisements=yes-sabedfor") IPv6 RA xabarlarini qabul qilish yoqilgan bo'lsa, zaiflik MikroTik RouterOS v6.xx va v7.xx tarmoqlarida o'zini namoyon qiladi.
Zaiflikdan foydalanish imkoniyati Torontoda boʻlib oʻtgan Pwn2Own tanlovida amalda koʻrsatildi, uning davomida muammoni aniqlagan tadqiqotchilar Mikrotik routerga hujum va undan mahalliy tarmoqning boshqa komponentlariga hujumlar uchun tramplin sifatida foydalanishni oʻz ichiga olgan koʻp bosqichli infratuzilma xakeri uchun 100 000 dollar mukofot oldilar. bu ham oshkor qilingan).
Zaiflik haqidagi ma'lumotlar dastlab ishlab chiqaruvchi nol kunlik yamoqni chiqarmasdan oldin e'lon qilingan, ammo RouterOS 7.9.1, 6.49.8, 6.48.7 va 7.10beta8 uchun yangilanishlar endi e'lon qilindi, bu zaiflikni bartaraf etadi. Pwn2Own tanlovini o‘tkazuvchi ZDI (Zero Day Initiative) ma’lumotlariga ko‘ra, ishlab chiqaruvchi zaiflik haqida 2022-yil 29-dekabrda xabardor qilingan. MikroTik vakillari bildirishnoma olmaganliklarini va muammo haqida 10-may kuni, yakuniy ma’lumotni oshkor qilish bildirishnomasini yuborgandan keyingina bilib olishganini da’vo qilmoqda. Bundan tashqari, zaiflik hisobotida muammoning mohiyati to'g'risidagi ma'lumotlar Torontodagi Pwn2Own tanlovi paytida MikroTik vakili bilan shaxsiy ravishda baham ko'rilgani aytiladi, ammo MikroTikning ta'kidlashicha, tadbirda kompaniya xodimlaridan hech biri ishtirok etmagan.
Manba: opennet.ru
