D-Link ha lanzado parches para dos vulnerabilidades críticas encontradas en su suite de administración de red que podrían permitir a los actores de amenazas eludir la autenticación y ejecutar código arbitrario de forma remota.
La empresa arregló dos fallas encontradas en D-View, su paquete de gestión de red que varias empresas utilizan para la gestión y administración general de la red.
Las fallas fueron descubiertas a fines del año pasado por investigadores de seguridad que participaron en la Iniciativa Zero Day (ZDI) de Trend Micro. Durante el evento, los investigadores encontraron múltiples vulnerabilidades, destacando dos: CVE-2023-32165 y CVE-2023-32169. El primero es una falla de ejecución remota de código, que podría usarse para ejecutar código malicioso con privilegios de SISTEMA. Este último, por otro lado, es una vulnerabilidad de omisión de autenticación que permite la escalada de privilegios, el acceso no autorizado a la información y, en algunos casos, la instalación de malware.
parche beta
Ambos defectos tienen una puntuación de gravedad de 9,8 (crítica). El problema afecta a D-View 8 versión 2.9.1.27 y anteriores. D-Link lanzó el parche hace aproximadamente dos semanas y ahora insta a los usuarios a aplicarlo lo antes posible.
«Tan pronto como D-Link se enteró de los problemas de seguridad informados, comenzamos rápidamente nuestra investigación y comenzamos a desarrollar parches de seguridad», dijo la compañía en un aviso de seguridad. El proveedor también advirtió a los usuarios que el parche es en realidad un «software beta o una versión de revisión», lo que significa que podrían ocurrir cambios adicionales en el futuro. También significa que D-View podría ser inestable o bloquearse después de la introducción del parche.
El proveedor también les dijo a los usuarios que verificaran la revisión del hardware de sus puntos finales, inspeccionando la etiqueta inferior o el panel de configuración web, para que no descarguen la actualización de firmware incorrecta.
La lista completa de las vulnerabilidades descubiertas es la siguiente:
- ZDI-CAN-19496: D-Link D-View TftpSendFileThread Directory Transversal Information Disclosure Vulnerability
- ZDI-CAN-19497: D-Link D-View TftpReceiveFileHandler Directory Traversal Vulnerabilidad de ejecución remota de código
- ZDI-CAN-19527: D-Link D-View uploadFile Directory Transversal Vulnerabilidad de creación de archivos arbitrarios
- ZDI-CAN-19529: Vulnerabilidad de creación o eliminación de archivos arbitrarios de D-Link D-View uploadMib Directory Traversal
- ZDI-CAN-19534: D-Link D-View showUser Autorización incorrecta Escalada de privilegios ZDI-CAN-19659: D-Link D-View Uso de clave criptográfica codificada Vulnerabilidad de omisión de autenticación
Vía: BleepingComputer