CISA, Aktif Olarak İstismar Edilen D-Link Yönlendirici Güvenlik Açıklarına Karşı Uyardı


17 Mayıs 2024Haber odasıGüvenlik Açığı / Ağ Güvenliği

D-Link Yönlendirici Güvenlik Açıkları

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), perşembe günü aktif istismar kanıtlarına dayanarak Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna D-Link yönlendiricilerini etkileyen iki güvenlik açığı ekledi.

Güvenlik açıklarının listesi aşağıdaki gibidir:

  • CVE-2014-100005 – Bir saldırganın mevcut bir yönetici oturumunu ele geçirerek yönlendirici yapılandırmalarını değiştirmesine olanak tanıyan, D-Link DIR-600 yönlendiricilerini etkileyen bir siteler arası istek sahteciliği (CSRF) güvenlik açığı
  • CVE-2021-40655 – D-Link DIR-605 yönlendiricilerini etkileyen ve saldırganların /getcfg.php sayfasına bir HTTP POST isteği göndererek kullanıcı adı ve parola elde etmesine olanak tanıyan, bilginin açığa çıkması güvenlik açığı

Şu anda bu eksikliklerin doğada nasıl istismar edildiğine dair hiçbir ayrıntı yok, ancak federal kurumlara 6 Haziran 2024’e kadar satıcı tarafından sağlanan hafifletici önlemleri uygulamaya çağrıldı.

Siber güvenlik

CVE-2014-100005’in, kullanım ömrü sonu (EoL) durumuna ulaşmış eski D-Link ürünlerini etkilediğini ve halen bunları kullanan kuruluşların kullanımdan kaldırılmasını ve cihazları değiştirmesini gerektirdiğini belirtmekte fayda var.

Bu gelişme, SSD Güvenli Açıklama ekibinin DIR-X4860 yönlendiricilerinde, kimlik doğrulaması yapılmamış uzak saldırganların yükseltilmiş izinler elde etmek ve komutları root olarak çalıştırmak için HNAP bağlantı noktasına erişmesine olanak verebilecek yamalanmamış güvenlik sorunlarını ortaya çıkarmasıyla ortaya çıktı.

“Kimlik doğrulama bypass’ını komut yürütmeyle birleştirerek cihazın güvenliği tamamen tehlikeye girebilir” dedi ve sorunların DIRX4860A1_FWV1.04B03 donanım yazılımı sürümünü çalıştıran yönlendiricileri etkilediğini ekledi.

SSD Güvenli Açıklama ayrıca, kimlik doğrulama korumalarını aşmak ve komut ekleme güvenlik açığından yararlanarak kod yürütmeyi gerçekleştirmek için yönlendiricinin yönetim arayüzüne özel olarak hazırlanmış bir HNAP oturum açma isteği kullanan bir kavram kanıtlama (PoC) istismarını da kullanıma sundu.

D-Link o zamandan beri sorunu kendi bülteninde kabul etti ve bir düzeltmenin “Yayınlanmayı Bekliyor / Geliştirilme Aşamasında” olduğunu belirtti. Sorunu LAN tarafında kimliği doğrulanmamış komut yürütme kusuru olarak tanımladı.

Ivanti, Endpoint Manager Mobile’daki (EPMM) Çoklu Kusurları Düzeltti

Siber güvenlik araştırmacıları ayrıca Ivanti EPMM’deki (CVE-2024-22026, CVSS puanı: 6,7) kimliği doğrulanmış bir yerel kullanıcının kabuk kısıtlamasını atlamasına ve cihazda rastgele komutlar yürütmesine izin verebilecek yeni bir güvenlik açığına yönelik bir PoC istismarı yayınladı.

Siber güvenlik

Redline Cyber ​​Security’den Bryan Smith, “Bu güvenlik açığı, yerel bir saldırganın, uzak bir URL’den gelen kötü amaçlı bir RPM paketiyle yazılım güncelleme sürecinden yararlanarak sisteme kök erişimi elde etmesine olanak tanıyor” dedi.

Sorun, EPMM komut satırı arayüzünün kurulum komutunda, kullanıcı tarafından sağlanan bir URL’den orijinalliğini doğrulamadan isteğe bağlı bir RPM paketi getirebilen yetersiz doğrulama durumundan kaynaklanmaktadır.

CVE-2024-22026, 12.1.0.0’dan önceki tüm EPMM sürümlerini etkilemektedir. Ayrıca Ivanti tarafından yamalanan diğer iki SQL enjeksiyon kusuru (CVE-2023-46806 ve CVE-2023-46807, CVSS puanları: 6.7), kimliği doğrulanmış bir kullanıcının uygun ayrıcalığa sahip olarak temel veritabanındaki verilere erişmesine veya bunları değiştirmesine izin verebilir.

Bu kusurlardan yararlanıldığına dair bir kanıt bulunmamakla birlikte, potansiyel tehditleri azaltmak için kullanıcıların en son sürüme güncelleme yapması tavsiye edilir.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link