A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na quinta-feira duas falhas de segurança que afetam os roteadores D-Link ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.
A lista de vulnerabilidades é a seguinte –
• CVE-2014-100005 – Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) que afeta os roteadores D-Link DIR-600 e permite que um invasor altere as configurações do roteador sequestrando uma sessão de administrador existente
• CVE-2021-40655 – Uma vulnerabilidade de divulgação de informações que afeta os roteadores D-Link DIR-605 que permite que invasores obtenham um nome de usuário e uma senha forjando uma solicitação HTTP POST para a página /getcfg.php
Atualmente não há detalhes sobre como essas deficiências são exploradas, mas as agências federais foram instadas a aplicar mitigações fornecidas pelo fornecedor até 6 de junho de 2024.
É importante notar que o CVE-2014-100005 afeta produtos legados da D-Link que atingiram o status de fim de vida (EoL), exigindo que as organizações que ainda os utilizam retirem e substituam os dispositivos.
O desenvolvimento ocorre no momento em que a equipe SSD Secure Disclosure revela problemas de segurança não corrigidos em roteadores DIR-X4860 que podem permitir que invasores remotos não autenticados acessem a porta HNAP para obter permissões elevadas e executar comandos como root.
“Ao combinar um desvio de autenticação com a execução de comandos, o dispositivo pode ser completamente comprometido”, disse, acrescentando que os problemas afetam os roteadores que executam a versão de firmware DIRX4860A1_FWV1.04B03.
O SSD Secure Disclosure também disponibilizou uma exploração de prova de conceito (PoC), que emprega uma solicitação de login HNAP especialmente criada para a interface de gerenciamento do roteador para contornar as proteções de autenticação e obter a execução de código, aproveitando uma vulnerabilidade de injeção de comando.
Desde então, a D-Link reconheceu o problema em um boletim próprio, afirmando que uma correção é “Lançamento Pendente/Em Desenvolvimento”. Ele descreveu a vulnerabilidade como um caso de falha de execução de comando não autenticado no lado da LAN.
Ivanti corrige diversas falhas no Endpoint Manager Mobile (EPMM)#
Pesquisadores de segurança cibernética também lançaram uma exploração PoC para uma nova vulnerabilidade no Ivanti EPMM (CVE-2024-22026, pontuação CVSS: 6,7) que poderia permitir que um usuário local autenticado contornasse a restrição do shell e executasse comandos arbitrários no dispositivo.
“Essa vulnerabilidade permite que um invasor local obtenha acesso root ao sistema, explorando o processo de atualização de software com um pacote RPM malicioso a partir de uma URL remota”, disse Bryan Smith, da Redline Cyber Security.
O problema decorre de um caso de validação inadequada no comando de instalação da interface de linha de comando EPMM, que pode buscar um pacote RPM arbitrário de uma URL fornecida pelo usuário sem verificar sua autenticidade.
CVE-2024-22026 afeta todas as versões do EPMM anteriores a 12.1.0.0. Também foram corrigidas pela Ivanti duas outras falhas de injeção de SQL no mesmo produto (CVE-2023-46806 e CVE-2023-46807, pontuações CVSS: 6,7) que podem permitir que um usuário autenticado com privilégio apropriado acesse ou modifique dados no banco de dados subjacente.
Embora não haja evidências de que essas falhas tenham sido exploradas, os usuários são aconselhados a atualizar para a versão mais recente para mitigar ameaças potenciais.
Fonte: https://thehackernews.com/2024/05/cisa-warns-of-actively-exploited-d-link.html
Comentários