其他
Mikrotik 终于修复 Pwn2Own 大赛上的 RouterOS 漏洞
编译:代码卫士
Mikrotik 在安全公告中证实该漏洞影响运行 MikroTik RouterOS v6.xx 和 v7.xx 且启用 IPv6 广告接收功能的设备。
Pwn2Own 大赛主办方 ZDI 指出,该漏洞可导致网络邻近攻击者在受影响的 MikroTik RouterOS 上执行任意代码。ZDI 在一份安全公告中指出,“无需认证即可利用该漏洞。该漏洞存在于 Router 广告守护进程中,是因为对用户所提供数据缺乏验证导致的,从而导致写越过所分配缓冲区的末尾。攻击者可利用该漏洞在 root 上下文中执行代码。”
ZDI 决定在等待MikroTik 5个月证实并修复该已遭利用的漏洞后公开该漏洞。ZDI 表示在去年12月将漏洞告知 MikroTik 并在今年5月份再次要求进行更新。5月10日,ZDI 表示应 MikroTik 要求给予其额外一周提供修复方案。
MikroTik 回应称,无法找到 ZDI 提供的12月份的披露记录,且该厂商并未在12月的东京大赛上讨论exploit。
MikroTik 路由器中的漏洞已位于CISA发布的必修清单,且曾被用于构建恶意僵尸网络。
https://www.securityweek.com/mikrotik-belatedly-patches-routeros-flaw-exploited-at-pwn2own/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。