17 подписчиков
За последние дни были выявлены уязвимости в роутерах сразу двух разных компаний - MicroTik и Zyxel. Обе завязаны на переполнении буфера 😱
В операционной системе RouterOS, применяемой в маршрутизаторах MikroTik, выявлена критическая уязвимость (CVE-2023-32154), позволяющая неаутентифицированному пользователю удалённо выполнить код на устройстве через отправку специально оформленного анонса маршрутизатора IPv6.
Проблема вызвана отсутствием должной проверки поступающих извне данных в процессе, отвечающем за обработку запросов IPv6, что позволило добиться записи данных за границу выделенного буфера и организовать выполнение своего кода с привилегиями root.
А вот в устройствах Zyxel выявлены сразу две уязвимости, потенциально позволяющие выполнить свой код на устройстве или инициировать отказ в обслуживании через отправку сетевого запроса без прохождения аутентификации. Первая уязвимость (CVE-2023-33009) вызвана переполнением буфера в функции обработки уведомлений, а вторая (CVE-2023-33010) - переполнением буфера в функции обработки идентификаторов.
На данный момент все уязвимости уже исправлены в новых версиях прошивки. Обновляемся!
Около минуты
2 июня 2023