The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в маршрутизаторах MikroTik, приводящая к выполнению кода при обработке IPv6 RA

24.05.2023 09:33

В операционной системе RouterOS, применяемой в маршрутизаторах MikroTik, выявлена критическая уязвимость (CVE-2023-32154), позволяющая неаутентифицированному пользователю удалённо выполнить код на устройстве через отправку специально оформленного анонса маршрутизатора IPv6 (RA, Router Advertisement).

Проблема вызвана отсутствием должной проверки поступающих извне данных в процессе, отвечающем за обработку запросов IPv6 RA (Router Advertisement), что позволило добиться записи данных за границу выделенного буфера и организовать выполнение своего кода с привилегиями root. Уязвимость проявляется в ветках MikroTik RouterOS v6.xx и v7.xx, при включении в настройках получения сообщений IPv6 RA ("ipv6/settings/ set accept-router-advertisements=yes" или "ipv6/settings/set forward=no accept-router-advertisements=yes-if-forwarding-disabled").

Возможность эксплуатации уязвимости на практике была продемонстрирована на соревнованиях Pwn2Own в Торонто, в ходе которых выявившие проблему исследователи получили вознаграждение, размером $100,000 за многоэтапный взлом инфраструктуры с атакой на маршрутизатор Mikrotik и использованием его в качестве плацдарма для атаки на другие компоненты локальной сети (в дальнейшем атакующие получили управление над принтером Canon, сведения об уязвимости в котором также раскрыты).

Информация об уязвимости изначально была опубликована до формирования исправления производителем (0-day), но в настоящее время уже опубликованы обновления RouterOS 7.9.1, 6.49.8, 6.48.7, 7.10beta8 с устранением уязвимости. По информации от проекта ZDI (Zero Day Initiative), проводящего соревнования Pwn2Own, производитель был уведомлен об уязвимости 29 декабря 2022 года. Представители MikroTik утверждают, что не получали уведомления и узнали о проблеме только 10 мая, после отправки финального предупреждения о раскрытии информации. Кроме того, в отчёте об уязвимости упоминается, что информация о сути проблемы была передана представителю MikroTik в личном порядке во время проведения соревнований Pwn2Own в Торонто, но по заявлению MikroTik сотрудники компании не принимали участия в мероприятии ни в каком качестве.

  1. Главная ссылка к новости (https://blog.mikrotik.com/secu...)
  2. OpenNews: На соревновании Pwn2Own в Торонто продемонстрированы эксплоиты для 63 новых уязвимостей
  3. OpenNews: Новые уязвимости в маршрутизаторах MikroTik и TP-Link
  4. OpenNews: Более 7500 маршрутизаторов MikroTik вовлечены в атаку с перехватом трафика
  5. OpenNews: Удалённая уязвимость в IPv6-стеке OpenBSD
  6. OpenNews: Удалённая уязвимость в systemd-networkd
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59188-mikrotik
Ключевые слова: mikrotik, ipv6
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (43) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:45, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Как прекрасно, похоже ZDI слили информацию засланному казачку, представившемуся работником MikroTik,  и этот казачок почти полгода втихую ломал маршрутизаторы MikroTik, отправкой IPv6-пакета. Трудно представить, сколько с такой уязвимостью тёмных дел можно было натворить. Возможно, то, что  MikroTik не получил уведомление об уязвимости цепи одного звена, поди в самом MikroTik через взломанный той же уязвимостью рутер  перенаправили в другое место трафик с почтового сервера ZDI.
     
     
  • 2.47, батон (?), 21:54, 25/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Проблема не в сливе, а в том, что компания не проводит fuzzing-тестирование и такие ошибки не обнаруживаются.
    Это значит, что Secure SDLC в компании не применятся и подходы к разработке стандартные. То есть таких вот проблем фаззером сетевого протокола можно найти еще очень много. И их наверняка найдется достаточно. Но никто этого делать не будет тк, стоимость разработки увеличится и придется лезть в другой сегмент, а там жи конкуренция. Девайсы полностью отрабатывают свою цену.
     

  • 1.2, Аноним (2), 09:50, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Чтобы отправить RA нужно быть в одном L2 сегменту с атакуемым, потому не так эпично как когда ломали по всему миру через открытый порт 8291.

    Ну и в ROS6 можно не ставить пакет поддержки IPv6 ибо никому оно не надо

     
     
  • 2.7, Genues (?), 10:16, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Более того, он вроде по умолчанию выключен? Хотя это не точно.
     
     
  • 3.9, Аноним (9), 10:35, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В ROS 6 поддержка ipv6 чисто условная, даже не знаю, зачем там этот пакет. До более-менее юзабельного состояния допилили только в 7.3, но и то, даже в самой последней версии по фичам нет паритета с ipv4.
     
  • 2.26, Аноним (26), 17:13, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В ROS 7 же тоже можно выключить ipv6 целиком.
     

  • 1.3, Кися (?), 09:51, 24/05/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     

     ....ответы скрыты (3)

  • 1.5, Аноним (5), 10:03, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    РЖД снова в опасности !!!
    https://habr.com/ru/articles/536750/
     
     
  • 2.24, Аноним (24), 13:29, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зато рано или поздно можно будет геройски решить проблему.
     
  • 2.31, Аноним (31), 18:32, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    А при чём РЖД к дыре в MikroTik? Лишь бы взбзднуть?
     
     
  • 3.40, Аноним (40), 23:31, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да ломливые они, Микротики эти... Пароль был сложный, два раза нашёл сломанным. Спасибо - нет.
     
     
  • 4.46, Аноним (46), 14:31, 25/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не на тот коммент ответил что ли?
     

  • 1.6, Чи (?), 10:16, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Учитывая как сам микротик поддерживает ipv6, не удивлен, что там нашли такую дыру.
     
     
  • 2.30, BlackRot (ok), 18:10, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Когда купишь себе МикроТик и будешь его обновлять- читай длинные чейнджлоги троль
     

  • 1.8, Аноним (8), 10:31, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    решение простое: W^X
     
     
  • 2.32, Аноним (31), 18:36, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Дык против этого ROP давно придумали
     
     
  • 3.35, Sw00p aka Jerom (?), 21:17, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Канарейки какие-то там должны были митиговать не?
     
  • 3.37, Аноним (37), 22:18, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Точнее, R^X + address randomisation и тогда ROP превращается в тыкву.
     

  • 1.10, Анонин (?), 10:40, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > через отправку специально оформленного анонса
    > добиться записи данных за границу выделенного буфера
    > организовать выполнение своего кода с привилегиями root.

    Хехе)) Впрочем ничего нового.

     
  • 1.13, Аноним (13), 11:29, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Пора RouterOS переписывать на том самом безопастном.
     
     
  • 2.14, Анонус (?), 11:50, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > Пора RouterOS переписывать на том самом безопастном.

    На латышском? Тогда точно никто уязвимостей не найдет.

     

  • 1.15, НяшМяш (ok), 12:13, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Когда там уже 7 с Wireguard в stable попадёт? Приходится только ради микротиков l2tp и openvpn держать.
     
     
  • 2.16, анон (?), 12:17, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как ты Wireguard к ldap прикручивать будешь?
    И динамическую маршрутизацию?
     
     
  • 3.41, noc101 (ok), 01:42, 25/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Костылями только. И то...
    Отличный протокол, но почемуто авторизацию к нему не прикрутят, не пойму.
     
     
  • 4.44, 1 (??), 09:25, 25/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    защита у него по паре ключей (ну почти как в pgp). А сервис верификации ключей напиши сам. Можо с эмодзи и язык которого нельзя называть тебе же дали !
     
     
  • 5.48, noc101 (ok), 03:53, 26/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > защита у него по паре ключей (ну почти как в pgp). А
    > сервис верификации ключей напиши сам. Можо с эмодзи и язык которого
    > нельзя называть тебе же дали !

    Можно и самому, но хотелось бы из коробки.

     
  • 2.17, 1 (??), 13:01, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Он уже давно в стабле - вылезь из криокамеры.
     
     
  • 3.28, НяшМяш (ok), 17:38, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Он уже давно в стабле - вылезь из криокамеры.

    https://mikrotik.com/download/changelogs/stable-release-tree

    Признаю себя лопухом. Поступил по-экспертному и глянул только на самую верхнюю запись. Теперь осталось понять, почему он на 750gr3 в стабильный канал не прилетает (я всегда там смотрел).

     
     
  • 4.29, 1 (??), 17:49, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Потому как версия у тебя старая и он в другое место смотрит.
    Обновись какая там у тебя есть последняя и всё получится.
     

  • 1.23, Аноним (24), 13:27, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Автоапдейта все равно, а кто туда руками полезет обновляться. Микротик один раз с матом настроил и больше не трогаешь.
     
  • 1.25, Аноньимъ (ok), 14:06, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мутная история.
    Возможно сервер почты отклонял уведомления как спам...
     
  • 1.27, Аноним (27), 17:16, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >позволило добиться записи данных за границу выделенного буфера и организовать выполнение своего кода

    Как это вообще работает? Вот выделили тебе где-то в куче память длинной 100 слов. Ты записал туда 100^20 слов, загадил всю кучу, быть может, даже процесс скрашил. Дальше-то что? Instruction Pointer же не по куче ходит, а по .text. Stack Pointer тоже не по куче ходит.

    Это не говоря уже о том, что туда надо какой-то осмысленный для целевой архитектуры код написать, которая вам неизвестна. Мало ли на чем эта ОС работает. Да и компиляторы не генерят много лет кода, который можно просто куда-то скопировать и сделать jmp. Надо либо в их диком выхлопе разбираться, либо на ассемблере писать, специалисты по которому закончились в конце девяностых.

    В общем, буря в стакане воды какая-то.

     
     
  • 2.43, Аноним (43), 07:08, 25/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > либо на ассемблере писать, специалисты по которому закончились в конце девяностых

    Как раз только специалисты и остались. Закончились школоло-«специалисты», которые, освоив MASM32 и написав программу из тысячи строк, смотрели на всех с презрением.

     
     
  • 3.45, Аноним (45), 12:29, 25/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Я тут недавно мир пересобирал, и обнаружил, что прямо ну самый тормознутый "преобразователь текста в бинарники" -- это nasm.

     

  • 1.33, Аноним (33), 18:52, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Очередное доказательство ненужности ipv6 и его инвалидности by design.
     
  • 1.36, Аноним (36), 21:58, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > информация о сути проблемы была передана представителю MikroTik в личном порядке во время проведения соревнований Pwn2Own в Торонто
    > но по заявлению MikroTik сотрудники компании не принимали участия в мероприятии ни в каком качестве

    Хитрый Джимми ловкий парень)

     
     
  • 2.38, YetAnotherOnanym (ok), 22:54, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Просто проходной двор, это нормально.
     

  • 1.39, Tron is Whistling (?), 23:04, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    IPv6 выключен, т.е. проблему не замечу :)
     
  • 1.42, penetrator (?), 06:06, 25/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а если "ipv6/settings/set forward=YES accept-router-advertisements=yes-if-forwarding-disabled"

    то всё? дыра не работает?

     
  • 1.49, Владислав (??), 00:12, 03/02/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот уже более 10 лет мои микротики болеют неизлечимым вирусом,похоже что одним и тем же,никто не может помочь увы,а в техподдержке микротика явно не настроены помогать,
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру