Hace unos días, MikroTik ha publicado un parche para una importante falla de seguridad en el RouterOS y ha confirmado que la vulnerabilidad fue explotada hace cinco meses en el concurso de piratería Pwn2Own Toronto.
En un aviso básico que documenta la falla CVE-2023-32154, MikroTik confirmó que el problema afecta a dispositivos que ejecutan las versiones v6.xx y v7.xx de MikroTik RouterOS con la funcionalidad de recepción de anuncios RA de IPv6 habilitada.
Según ZDI, los organizadores del evento de explotación de software Pwn2Own, la vulnerabilidad permite a los atacantes dentro de una red ejecutar código arbitrario en las instalaciones afectadas de RouterOS.
«La autenticación no es necesaria para explotar esta vulnerabilidad«, advirtió ZDI en un aviso.
«La falla específica se encuentra en el Demonio de Anuncios del router. El problema se produce debido a la falta de validación adecuada de los datos suministrados por el usuario, lo que puede resultar en una escritura más allá del final de un búfer asignado. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root«, dijo la empresa.
Los organizadores de Pwn2Own decidieron hacer público un aviso antes de que estuvieran disponibles los parches, después de esperar cinco meses a que MikroTik reconociera y solucionara la falla de seguridad que ya había sido explotada.
ZDI dijo que informó del problema a MikroTik durante el evento en diciembre pasado y volvió a solicitar una actualización en mayo de este año, cinco meses después. El 10 de mayo, ZDI dijo que «volvió a divulgar el informe a petición del proveedor» y dio a la empresa una semana adicional para proporcionar soluciones.
En su respuesta, MikroTik dijo que no puede encontrar un registro de la divulgación de diciembre por parte de ZDI y que no estuvo presente en el evento de Toronto en diciembre para discutir la explotación.
Las fallas de seguridad en los routers MikroTik han aparecido en la lista de parches obligatorios de CISA y se han utilizado en el pasado para crear botnets maliciosas.
DETALLES ADICIONALES:
- 09/12/22 – ZDI informó sobre la vulnerabilidad al proveedor durante Pwn2Own Toronto.
- 09/05/23 – ZDI solicitó una actualización.
- 10/05/23 – ZDI volvió a divulgar el informe a petición del proveedor.
- 10/05/23 – ZDI informó al proveedor que el caso se publicará como un aviso de día cero el 17/05/23.
- Mitigación: Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación relevante es restringir la interacción con la aplicación (desactivar el servicio).
CRONOGRAMA DE DIVULGACIÓN
- 29/12/2022: Vulnerabilidad informada al proveedor.
- 17/05/2023: Publicación coordinada del aviso.
Más información en Securityweek, zerodayinitiative