Američka agencija za cyber sigurnost i sigurnost infrastrukture (CISA) u četvrtak je dodala dvije sigurnosne greške koje utiču na D-Link rutere u svoj katalog poznatih eksploatiranih ranjivosti ( KEV ), na osnovu dokaza o aktivnoj eksploataciji.
Lista ranjivosti je sljedeća:
- CVE-2014-100005 – Ranjivost falsifikovanja zahtjeva na više lokacija (CSRF) koja utiče na D-Link DIR-600 rutere i omogućava napadaču da promjeni konfiguraciju rutera otimanjem postojeće administratorske sesije
- CVE-2021-40655 – Ranjivost otkrivanja informacija koja utiče na D-Link DIR-605 rutere koja omogućava napadačima da dobiju korisničko ime i lozinku krivotvorenjem HTTP POST zahtjeva na /getcfg.php stranici
Trenutno nema detalja o tome kako se ovi nedostaci iskorištavaju u divljini, ali federalne agencije su pozvane da primjene mjere ublažavanja koje je obezbijedio dobavljač do 6. juna 2024. godine.
Vrijedi napomenuti da CVE-2014-100005 utiče na naslijeđene D-Link proizvode koji su dostigli status na kraju životnog vijeka (EoL), što zahtijeva da se organizacije koje ih još uvijek koriste povuku i zamjene uređaje.
Razvoj dolazi kada je tim za SSD Secure Disclosure otkrio nezakrpljene sigurnosne probleme u DIR-X4860 ruterima koji bi mogli omogućiti udaljenim napadačima bez autentifikacije da pristupe HNAP portu kako bi dobili povišene dozvole i pokrenuli komande kao root.
“Kombinacijom zaobilaženja autentikacije sa izvršavanjem komande uređaj može biti potpuno kompromitovan,” kaže se, dodajući da problemi utiču na rutere koji pokreću verziju firmware DIRX4860A1_FWV1.04B03.
SSD Secure Disclosure je takođe stavio na raspolaganje eksploataciju za dokaz koncepta (PoC), koja koristi posebno kreiran HNAP zahtjev za prijavu na management interface rutera kako bi se zaobišla zaštita autentifikacije i postiglo izvršenje koda koristeći prednost ranjivosti ubrizgavanja komande.
D-Link je od tada priznao problem u sopstvenom biltenu, navodeći da je popravka “Pending Release / Under Development”. Problem je opisao kao slučaj greške u izvršavanju komande na strani LAN-a.
Ivanti zakrpi više nedostataka u Endpoint Manager Mobile (EPMM)
Istraživači cyber sigurnosti takođe su objavili PoC eksploataciju za novu ranjivost u Ivanti EPMM-u (CVE-2024-22026, CVSS rezultat: 6,7) koja bi mogla dozvoliti autentificiranom lokalnom korisniku da zaobiđe ograničenja ljuske i izvrši proizvoljne naredbe na uređaju.
“Ova ranjivost omogućava lokalnom napadaču da dobije root pristup sistemu iskorištavanjem procesa ažuriranja softvera sa zlonamjernim RPM paketom sa udaljenog URL-a”, rekao je Bryan Smith iz Redline Cyber Security .
Problem proizilazi iz slučaja neadekvatne validacije u instalacijskoj naredbi EPMM sučelja komandne linije, koja može dohvatiti proizvoljni RPM paket sa URL-a koji je dao korisnik bez provjere njegove autentičnosti.
CVE-2024-22026 utiče na sve verzije EPMM-a prije 12.1.0.0. Ivanti je također zakrpio dvije druge greške u SQL injekciji (CVE-2023-46806 i CVE-2023-46807, CVSS rezultati: 6.7) koje bi mogle omogućiti autentificiranom korisniku s odgovarajućom privilegijom da pristupi ili modificira podatke u osnovnoj bazi podataka.
Iako nema dokaza da su ovi nedostaci iskorišteni, korisnicima se savjetuje da ažuriraju na najnoviju verziju kako bi ublažili potencijalne prijetnje.
Izvor:The Hacker News
