Агентство кибербезопасности и безопасности инфраструктуры США (CISA) в четверг добавило две уязвимости безопасности, влияющие на маршрутизаторы D-Link, в свой каталог известных эксплуатируемых уязвимостей (KEV), основываясь на свидетельствах активного использования.
Список уязвимостей выглядит следующим образом -
Стоит отметить, что CVE-2014-100005 влияет на устаревшие продукты D-Link, срок службы которых истек (EoL), что требует от организаций, все еще использующих их, вывода из эксплуатации и замены устройств.
Разработка началась после того, как команда SSD Secure Disclosure обнаружила не устраненные проблемы безопасности в маршрутизаторах DIR-X4860, которые могли позволить удаленным злоумышленникам, не прошедшим проверку подлинности, получить доступ к порту HNAP для получения повышенных разрешений и запуска команд от имени root.
"Комбинируя обход аутентификации с выполнением команды, устройство может быть полностью скомпрометировано", - сказал он, добавив, что проблемы влияют на маршрутизаторы, работающие с версией прошивки DIRX4860A1_FWV1.04B03.
Компания SSD Secure Disclosure также сделала доступным эксплойт proof-of-concept (PoC), который использует специально созданный запрос HNAP для входа в интерфейс управления маршрутизатором, чтобы обойти защиту аутентификации и добиться выполнения кода, воспользовавшись уязвимостью при внедрении команды.
С тех пор D-Link признал проблему в собственном бюллетене, заявив, что исправление "ожидает выпуска / находится в разработке". В нем уязвимость описана как ошибка при выполнении команд без проверки подлинности на стороне локальной сети.
"Эта уязвимость позволяет локальному злоумышленнику получить root-доступ к системе, используя процесс обновления программного обеспечения с помощью вредоносного RPM-пакета с удаленного URL", - сказал Брайан Смит из Redline Cyber Security.
Проблема связана со случаем неадекватной проверки в команде установки интерфейса командной строки EPMM, которая может извлекать произвольный RPM-пакет по предоставленному пользователем URL-адресу без проверки его подлинности.
CVE-2024-22026 влияет на все версии EPMM до 12.1.0.0. Ivanti также исправила две другие ошибки SQL-инъекций в том же продукте (CVE-2023-46806 и CVE-2023-46807, оценки CVSS: 6.7), которые могут позволить аутентифицированному пользователю с соответствующими привилегиями получать доступ к данным в базовой базе данных или изменять их.
Хотя нет никаких доказательств того, что эти недостатки были использованы, пользователям рекомендуется обновиться до последней версии, чтобы уменьшить потенциальные угрозы.
Список уязвимостей выглядит следующим образом -
- CVE-2014-100005 - Уязвимость при подделке межсайтовых запросов (CSRF), влияющая на маршрутизаторы D-Link DIR-600, которая позволяет злоумышленнику изменять конфигурации маршрутизаторов путем взлома существующего сеанса администратора
- Уязвимость CVE-2021-40655 - это уязвимость раскрытия информации, влияющих на Д-Линк Дир-605 маршрутизаторами, что позволяет злоумышленникам получить логин и пароль путем ковки запрос POST на /getcfg.php страница
Стоит отметить, что CVE-2014-100005 влияет на устаревшие продукты D-Link, срок службы которых истек (EoL), что требует от организаций, все еще использующих их, вывода из эксплуатации и замены устройств.
Разработка началась после того, как команда SSD Secure Disclosure обнаружила не устраненные проблемы безопасности в маршрутизаторах DIR-X4860, которые могли позволить удаленным злоумышленникам, не прошедшим проверку подлинности, получить доступ к порту HNAP для получения повышенных разрешений и запуска команд от имени root.
"Комбинируя обход аутентификации с выполнением команды, устройство может быть полностью скомпрометировано", - сказал он, добавив, что проблемы влияют на маршрутизаторы, работающие с версией прошивки DIRX4860A1_FWV1.04B03.
Компания SSD Secure Disclosure также сделала доступным эксплойт proof-of-concept (PoC), который использует специально созданный запрос HNAP для входа в интерфейс управления маршрутизатором, чтобы обойти защиту аутентификации и добиться выполнения кода, воспользовавшись уязвимостью при внедрении команды.
С тех пор D-Link признал проблему в собственном бюллетене, заявив, что исправление "ожидает выпуска / находится в разработке". В нем уязвимость описана как ошибка при выполнении команд без проверки подлинности на стороне локальной сети.
Ivanti исправляет многочисленные недостатки в Endpoint Manager Mobile (EPMM)
Исследователи кибербезопасности также выпустили PoC-эксплойт для новой уязвимости в Ivanti EPMM (CVE-2024-22026, оценка CVSS: 6.7), который может позволить аутентифицированному локальному пользователю обходить ограничения командной оболочки и выполнять произвольные команды на устройстве."Эта уязвимость позволяет локальному злоумышленнику получить root-доступ к системе, используя процесс обновления программного обеспечения с помощью вредоносного RPM-пакета с удаленного URL", - сказал Брайан Смит из Redline Cyber Security.
Проблема связана со случаем неадекватной проверки в команде установки интерфейса командной строки EPMM, которая может извлекать произвольный RPM-пакет по предоставленному пользователем URL-адресу без проверки его подлинности.
CVE-2024-22026 влияет на все версии EPMM до 12.1.0.0. Ivanti также исправила две другие ошибки SQL-инъекций в том же продукте (CVE-2023-46806 и CVE-2023-46807, оценки CVSS: 6.7), которые могут позволить аутентифицированному пользователю с соответствующими привилегиями получать доступ к данным в базовой базе данных или изменять их.
Хотя нет никаких доказательств того, что эти недостатки были использованы, пользователям рекомендуется обновиться до последней версии, чтобы уменьшить потенциальные угрозы.
