✔Mikrotik запоздало исправляет баг, обнаруженный на Pwn2Own - «Новости»

26 мая 2023 801 Новости / Самоучитель CSS / Преимущества стилей / Вёрстка / Отступы и поля / Заработок / Добавления стилей 0

В бюллетене, документирующем уязвимость CVE-2023-32154, Mikrotik подтверждает, что проблема затрагивает устройства под управлением MikroTik RouterOS версий v6.xx и v7.xx со включенной функцией IPv6 advertisement receiver.

Согласно данным организаторов Pwn2Own, Trend Micro Zero Day Initiative (ZDI), эта уязвимость позволяет удаленным злоумышленникам выполнить произвольный код на уязвимых устройствах.

«Для использования этой уязвимости не требуется аутентификация, — предупреждает ZDI в своем сообщении. — Проблема существует в демоне Router Advertisement Daemon и возникает из-за отсутствия надлежащей проверки данных, предоставляемых пользователем, что может привести к записи за пределы выделенного буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root».

Организаторы Pwn2Own решили раскрыть данные об уязвимости до выхода патчей, так как компания MikroTik в течение пяти месяцев хранила молчание в отношении уже эксплуатируемой уязвимости. В ZDI говорят, что сообщали MikroTik о баге еще в ходе соревнования, в декабре прошлого года, и повторно обращались к компании с вопросами о патче в мае, спустя пять месяцев. В итоге 10 мая ZDI «повторно раскрыла отчет по просьбе производителя» и дала компании дополнительную неделю на выпуск исправлений.

Как теперь заявляют представители MikroTik в своем отчете, компании не удалось найти запись о декабрьском раскрытии информации от ZDI, а представители компании не присутствовали на Pwn2Own Toronto для обсуждения эксплоита.

Компания MikroTik, производящая сетевое оборудование, выпустила исправление для серьезной уязвимости в RouterOS и подтвердила, что этот баг был использован пять месяцев назад на хакерском соревновании Pwn2Own Toronto. При этом в MikroTik заявили, что в декабре никто не уведомил компанию о проблеме. В бюллетене, документирующем уязвимость CVE-2023-32154, Mikrotik подтверждает, что проблема затрагивает устройства под управлением MikroTik RouterOS версий v6.xx и v7.xx со включенной функцией IPv6 advertisement receiver. Согласно данным организаторов Pwn2Own, Trend Micro Zero Day Initiative (ZDI), эта уязвимость позволяет удаленным злоумышленникам выполнить произвольный код на уязвимых устройствах. «Для использования этой уязвимости не требуется аутентификация, — предупреждает ZDI в своем сообщении. — Проблема существует в демоне Router Advertisement Daemon и возникает из-за отсутствия надлежащей проверки данных, предоставляемых пользователем, что может привести к записи за пределы выделенного буфера. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root». Организаторы Pwn2Own решили раскрыть данные об уязвимости до выхода патчей, так как компания MikroTik в течение пяти месяцев хранила молчание в отношении уже эксплуатируемой уязвимости. В ZDI говорят, что сообщали MikroTik о баге еще в ходе соревнования, в декабре прошлого года, и повторно обращались к компании с вопросами о патче в мае, спустя пять месяцев. В итоге 10 мая ZDI «повторно раскрыла отчет по просьбе производителя» и дала компании дополнительную неделю на выпуск исправлений. Как теперь заявляют представители MikroTik в своем отчете, компании не удалось найти запись о декабрьском раскрытии информации от ZDI, а представители компании не присутствовали на Pwn2Own Toronto для обсуждения эксплоита.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.