D-Link corrige los defectos de derivación de autenticación y RCE

D-Link ha corregido dos vulnerabilidades de gravedad crítica en su suite de administración de red D-View 8 que podrían permitir a los atacantes remotos eludir la autenticación y ejecutar código arbitrario.

D-View es una suite de administración de red desarrollada por el proveedor taiwanés de soluciones de red D-Link, utilizada por empresas de todos los tamaños para monitorear el rendimiento, controlar las configuraciones de dispositivos, crear mapas de red y, en general, hacer que la administración y administración de redes sea más eficiente y consuma menos tiempo.

Los investigadores de seguridad que participan en Zero Day Initiative (ZDI) de Trend Micro descubrieron seis fallas que afectaron a D-View a fines del año pasado y las informaron al proveedor el 23 de diciembre de 2022.

Dos de las vulnerabilidades descubiertas son de gravedad crítica (puntuación CVSS: 9.8 ) y dan a los atacantes no autenticados una fuerte influencia sobre las instalaciones afectadas.

El primer error se rastrea como CVE-2023-32165 y es un error de ejecución remota de código que surge de la falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en operaciones de archivo.

Un atacante que aprovechara la vulnerabilidad podría ejecutar código con privilegios SYSTEM, que para Windows, el código se ejecutará con los privilegios más altos, lo que podría permitir la toma completa del sistema.

La segunda falla crítica ha recibido el identificador CVE-2023-32169 y es un problema de omisión de autenticación resultante del uso de una clave criptográfica codificada en la clase TokenUtils del software.

La explotación de esta falla permite la escalada de privilegios, el acceso no autorizado a la información, el cambio de configuración y ajustes en el software, e incluso la instalación de puertas traseras y malware.

D-Link ha publicado un aviso sobre las seis fallas reportadas por ZDI, que afectan a D-View 8 versión 2.0.1.27 y anteriores, instando a los administradores a actualizar a la versión corregida, 2.0.1.28, lanzada el 17 de mayo de 2023.

"Tan pronto como D-Link se enteró de los problemas de seguridad reportados, comenzamos rápidamente nuestra investigación y comenzamos a desarrollar parches de seguridad", se lee en el boletín de seguridad de D-Link.

Aunque el proveedor "recomienda encarecidamente" a todos los usuarios que instalen la actualización de seguridad, el anuncio también advierte que el parche es "software beta o versión de corrección en caliente", que aún se encuentra en pruebas finales.

Esto significa que la actualización a 2.0.1.28 puede causar problemas o introducir inestabilidad en D-View, pero la gravedad de los defectos probablemente supere cualquier posible problema de rendimiento.

La compañía también aconseja a los usuarios que verifiquen la revisión de hardware de sus productos verificando la etiqueta inferior o el panel de configuración web antes de descargar la actualización de firmware correspondiente.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta