Nhà sản xuất thiết bị mạng Latvian MikroTik đã gửi bản vá lỗi bảo mật lớn trong sản phẩm RouterOS của mình và xác nhận lỗ hổng này đã bị khai thác cách đây 5 tháng tại cuộc thi hack Pwn2Own Toronto.
Trong một tài liệu tư vấn về lỗ hổng CVE-2023-32154, Mikrotik đã xác nhận rằng sự cố này ảnh hưởng đến các thiết bị chạy MikroTik RouterOS phiên bản v6.xx và v7.xx có kích hoạt tính năng nhận quảng cáo IPv6.
Theo ZDI, nhà tổ chức sự kiện khai thác phần mềm Pwn2Own, lỗ hổng cho phép những kẻ tấn công mạng thực thi mã tùy ý trên các bản cài đặt Mikrotik RouterOS bị ảnh hưởng. “Lỗ hổng tồn tại trong Router Advertisement Daemon, là sự cố thiếu xác thực hợp lệ dữ liệu do người dùng cung cấp dẫn đến việc ghi vào phần cuối bộ đệm được phân bổ. Kẻ tấn công có thể lợi dụng lỗ hổng này để thực thi mã trong ngữ cảnh root”.
Ban tổ chức Pwn2Own đã quyết định đưa ra khuyến nghị tới công chúng trước khi có các bản vá sau 5 tháng chờ đợi để MikroTik xác nhận và khắc phục lỗ hổng bảo mật đã bị khai thác.
ZDI cho biết đã báo cáo vấn đề với MikroTik trong sự kiện vào tháng 12/2022 và yêu cầu cập nhật vào tháng 5 năm nay. Vào ngày 10 tháng 5, ZDI cho biết họ “tiết lộ lại báo cáo theo yêu cầu của nhà cung cấp” và cho công ty thêm một tuần để cung cấp các bản vá.
Đáp lại, MikroTik cho biết họ không tìm thấy hồ sơ tiết lộ vào tháng 12 từ ZDI và họ đã không có mặt tại sự kiện Toronto vào tháng 12 để thảo luận về việc khai thác.
Các lỗi bảo mật trong bộ định tuyến MikroTik đã xuất hiện trong danh sách phải vá của CISA và trước đây lỗi này đã từng được sử dụng để xây dựng các mạng botnet độc hại./.