CISA advierte sobre vulnerabilidades activas en routers D-Link

La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA, por sus siglas en inglés) agregó el jueves dos fallas de seguridad que afectan a los enrutadores D-Link a su catálogo de vulnerabilidades explotadas conocidas (KEV, por sus siglas en inglés), basadas en evidencia de explotación activa.

La lista de vulnerabilidades es la siguiente:

• CVE-2014-100005 - Una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF) que afecta a los routers D-Link DIR-600 y que permite a un atacante cambiar las configuraciones de los routers secuestrando una sesión de administrador existente
• CVE-2021-40655: una vulnerabilidad de divulgación de información que afecta a los routers D-Link DIR-605 que permite a los atacantes obtener un nombre de usuario y una contraseña mediante la falsificación de una solicitud HTTP POST a la página /getcfg.php

Actualmente no hay detalles sobre cómo se explotan estas deficiencias en la naturaleza, pero se ha instado a las agencias federales a aplicar mitigaciones proporcionadas por el proveedor antes del 6 de junio de 2024.

Vale la pena señalar que CVE-2014-100005 afecta a los productos heredados de D-Link que han alcanzado el estado de fin de vida útil (EoL), lo que requiere que las organizaciones que aún los usan retiren y reemplacen los dispositivos.

El desarrollo se produce cuando el equipo de SSD Secure Disclosure reveló problemas de seguridad sin parches en los enrutadores DIR-X4860 que podrían permitir a los atacantes remotos no autenticados acceder al puerto HNAP para obtener permisos elevados y ejecutar comandos como root.

"Al combinar una omisión de autenticación con la ejecución de comandos, el dispositivo puede verse completamente comprometido", dijo, y agregó que los problemas afectan a los enrutadores que ejecutan la versión de firmware DIRX4860A1_FWV1.04B03.

SSD Secure Disclosure también ha puesto a disposición un exploit de prueba de concepto (PoC), que emplea una solicitud de inicio de sesión HNAP especialmente diseñada para la interfaz de administración del enrutador para eludir las protecciones de autenticación y lograr la ejecución de código aprovechando una vulnerabilidad de inyección de comandos.

Desde entonces, D-Link ha reconocido el problema en un boletín propio, afirmando que una solución está "pendiente de lanzamiento / en desarrollo". Describió la vulnerabilidad como un caso de falla en la ejecución de comandos no autenticados del lado de la LAN.

Ivanti corrige múltiples fallos en Endpoint Manager Mobile (EPMM)

Los investigadores de ciberseguridad también han publicado un exploit de PoC para una nueva vulnerabilidad en Ivanti EPMM (CVE-2024-22026, puntuación CVSS: 6,7) que podría permitir a un usuario local autenticado eludir la restricción de shell y ejecutar comandos arbitrarios en el dispositivo.

"Esta vulnerabilidad permite a un atacante local obtener acceso root al sistema explotando el proceso de actualización de software con un paquete RPM malicioso desde una URL remota", dijo Bryan Smith de Redline Cyber Security.

El problema se deriva de un caso de validación inadecuada en el comando de instalación de la interfaz de línea de comandos de EPMM, que puede obtener un paquete RPM arbitrario de una URL proporcionada por el usuario sin verificar su autenticidad.

CVE-2024-22026 afecta a todas las versiones de EPMM anteriores a la 12.1.0.0. Ivanti también ha parcheado otros dos fallos de inyección SQL en el mismo producto (CVE-2023-46806 y CVE-2023-46807, puntuaciones CVSS: 6,7) que podrían permitir a un usuario autenticado con los privilegios adecuados acceder a los datos de la base de datos subyacente o modificarlos.

Si bien no hay evidencia de que se hayan explotado estas fallas, se recomienda a los usuarios que actualicen a la última versión para mitigar las posibles amenazas.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta