D-Link, D-View 8 ağ yönetimi paketinde, uzaktaki saldırganların kimlik doğrulamasını atlamasına ve rastgele kod yürütmesine izin verebilecek iki kritik önem dereceli güvenlik açığını düzeltti.
D-View, Tayvanlı ağ çözümleri satıcısı D-Link tarafından geliştirilen ve her büyüklükteki işletme tarafından performansı izlemek, cihaz yapılandırmalarını kontrol etmek, ağ haritaları oluşturmak ve genel olarak ağ yönetimini ve yönetimini daha verimli ve daha kısa sürede yapmak için kullanılan bir ağ yönetim paketidir. tüketen
Trend Micro’nun Sıfır Gün Girişimi’ne (ZDI) katılan güvenlik araştırmacıları, geçen yılın sonlarında D-View’ı etkileyen altı kusur keşfetti ve bunları 23 Aralık 2022’de satıcıya bildirdi.
Keşfedilen güvenlik açıklarından ikisi kritik düzeydedir (CVSS puanı: 9.8) ve kimliği doğrulanmamış saldırganlara etkilenen kurulumlar üzerinde güçlü bir kaldıraç sağlar.
İlk kusur, CVE-2023-32165 olarak izlenir ve dosya işlemlerinde kullanılmadan önce kullanıcı tarafından sağlanan bir yolun uygun şekilde doğrulanmamasından kaynaklanan bir uzaktan kod yürütme kusurudur.
Güvenlik açığından yararlanan bir saldırgan, Windows için kod en yüksek ayrıcalıklarla çalışacak ve potansiyel olarak sistemin tamamen ele geçirilmesine izin verecek olan SYSTEM ayrıcalıklarıyla kod yürütebilir.
İkinci kritik kusur, CVE-2023-32169 tanımlayıcısını aldı ve yazılımın TokenUtils sınıfında sabit kodlanmış bir kriptografik anahtar kullanılmasından kaynaklanan bir kimlik doğrulama bypass sorunu.
Bu kusurdan yararlanmak, ayrıcalık yükseltmeye, bilgilere yetkisiz erişime, yazılımdaki yapılandırma ve ayarların değiştirilmesine ve hatta arka kapıların ve kötü amaçlı yazılımların yüklenmesine izin verir.
D-Link, ZDI tarafından bildirilen ve D-View 8 sürüm 2.0.1.27 ve önceki sürümlerini etkileyen altı kusurun tümü hakkında bir danışma belgesi yayınladı ve yöneticileri 17 Mayıs 2023’te yayınlanan sabit sürüm 2.0.1.28’e yükseltmeye çağırdı.
D-Link’in güvenlik bülteninde, “D-Link bildirilen güvenlik sorunlarından haberdar olur olmaz, derhal araştırmamıza başladık ve güvenlik yamaları geliştirmeye başladık.”
Satıcı, tüm kullanıcılara güvenlik güncellemesini yüklemelerini “şiddetle tavsiye” etse de, duyuru ayrıca yamanın “beta yazılım veya düzeltme sürümü” olduğu ve hâlâ son testlerden geçmekte olduğu konusunda da uyarıyor.
Bu, 2.0.1.28’e yükseltmenin sorunlara neden olabileceği veya D-View’da istikrarsızlık getirebileceği anlamına gelir, ancak kusurların ciddiyeti muhtemelen herhangi bir potansiyel performans sorununa ağır basar.
Şirket ayrıca kullanıcılara, ilgili üretici yazılımı güncellemesini indirmeden önce alt taraftaki etiketi veya web yapılandırma panelini kontrol ederek ürünlerinin donanım revizyonunu doğrulamalarını tavsiye ediyor.