Латвийский производитель сетевого оборудования выпустил новые сборки RouterOS с патчем для опасной уязвимости, о которой ему сообщил пять месяцев назад организатор конкурса Pwn2Own в Торонто.
Проблема безопасности, получившая идентификатор CVE-2023-32154, позволяет удаленно и без аутентификации выполнить произвольный код в системе. Уязвимость проявляется на роутерах Mikrotik, использующих ОС версий 6.xx и 7.xx с включенным приемом объявлений маршрутизатора IPv6.
Согласно бюллетеню ZDI (проект Zero Day Initiative компании Trend Micro), виновником появления уязвимости является демон объявления маршрутизатора, который плохо проверяет данные, вводимые пользователем. Из-за этого может произойти запись за границами выделенного буфера — ошибка, позволяющая выполнить любой код с привилегиями root.
По словам ZDI, уведомление об этой уязвимости был передано Mikrotik еще в декабре, в ходе очередного мероприятия Pwn2Own. Наличие дыры нулевого дня в роутерах вендора тогда с успехом продемонстрировала команда DEVCORE.
Участники ZDI долго ждали отклика, который так и не последовал, и 10 мая вновь связались с Mikrotik. В ответ их попросили еще раз прислать отчет; в итоге было принято решение о публикации бюллетеня.
Этот шаг возымел свое действие: два дня назад производитель роутеров в своем блоге признал наличие проблемы и сказал, что все уже исправили. Он также заявил, что никаких извещений в декабре не получал и на Pwn2Own его представителей не было.
Для предотвращения эксплойта пользователям рекомендуется отключить анонсы IPv6 либо обновить RouterOS — пропатченные версии 7.9.1, 6.49.8, 6.48.7 и 7.10beta8 уже доступны. Эти меры безопасности будут нелишними: уязвимости роутеров MikroTik неоднократно использовались для создания вредоносных ботнетов.