В операционной системе RouterOS, применяемой в маршрутизаторах MikroTik, выявлена критическая уязвимость (CVE-2023-32154), позволяющая неаутентифицированному пользователю удалённо выполнить код на устройстве через отправку специально оформленного анонса маршрутизатора IPv6 (RA, Router Advertisement).
Проблема вызвана отсутствием должной проверки поступающих извне данных в процессе, отвечающем за обработку запросов
IPv6 RA (Router Advertisement), что позволило добиться записи данных за границу выделенного буфера и организовать выполнение своего кода с привилегиями root. Уязвимость проявляется в ветках MikroTik RouterOS v6.xx и v7.xx, при включении в настройках получения сообщений IPv6 RA (“ipv6/settings/ set accept-router-advertisements=yes” или “ipv6/settings/set forward=no accept-router-advertisements=yes-if-forwarding-disabled”).
Возможность эксплуатации уязвимости на практике была продемонстрирована на соревнованиях Pwn2Own в Торонто, в ходе которых выявившие проблему исследователи получили вознаграждение, размером $100,000 за многоэтапный взлом инфраструктуры с атакой на маршрутизатор Mikrotik и использованием его в качестве плацдарма для атаки на другие компоненты локальной сети (в дальнейшем атакующие получили управление над принтером Canon, сведения об уязвимости в котором также раскрыты).
Информация об уязвимости изначально была опубликована до формирования исправления производителем (0-day), но в настоящее время уже опубликованы обновления RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 с устранением уязвимости. По информации от проекта ZDI (Zero Day Initiative), проводящего соревнования Pwn2Own, производитель был уведомлен об уязвимости 29 декабря 2022 года. Представители MikroTik утверждают, что не получали уведомления и узнали о проблеме только 10 мая, после отправки финального предупреждения о раскрытии информации. Кроме того, в отчёте об уязвимости упоминается, что информация о сути проблемы была передана представителю MikroTik в личном порядке во время проведения соревнований Pwn2Own в Торонто, но по заявлению MikroTik сотрудники компании не принимали участия в мероприятии ни в каком качестве.