O fabricante de equipamentos de rede MikroTik enviou um patch para uma grande falha de segurança em seu produto RouterOS e confirmou que a vulnerabilidade foi explorada há cinco meses no concurso de hackers Pwn2Own Toronto. A falha específica existe dentro do Router Advertising Daemon.

O problema resulta da falta de validação adequada dos dados fornecidos pelo usuário, o que pode resultar em uma gravação após o final de um buffer alocado. Um invasor pode aproveitar essa vulnerabilidade para executar código malicioso.

Os organizadores do Pwn2Own decidiram tornar público um aviso antes da disponibilidade dos patches, depois de esperar cinco meses para que o MikroTik reconhecesse e corrigisse a falha de segurança já explorada.

As falhas de segurança nos roteadores MikroTik estão na lista de patches obrigatórios da CISA e foram usados no passado para criar botnets maliciosos.