Το D-Link διορθώνει το auth bypass και τα ελαττώματα RCE στο λογισμικό D-View 8

Η D-Link έχει διορθώσει δύο ευπάθειες κρίσιμης σοβαρότητας στη σουίτα διαχείρισης δικτύου D-View 8 που θα μπορούσαν να επιτρέψουν στους απομακρυσμένους εισβολείς να παρακάμψουν τον έλεγχο ταυτότητας και να εκτελέσουν αυθαίρετο κώδικα.

Το D-View είναι μια σουίτα διαχείρισης δικτύου που αναπτύχθηκε από τον Ταϊβανέζικο προμηθευτή λύσεων δικτύων D-Link, που χρησιμοποιείται από επιχειρήσεις όλων των μεγεθών για την παρακολούθηση της απόδοσης, τον έλεγχο των διαμορφώσεων συσκευών, τη δημιουργία χαρτών δικτύου και γενικά για να κάνει τη διαχείριση και διαχείριση δικτύου πιο αποτελεσματική και λιγότερο χρόνο- καταναλώνοντας.

Οι ερευνητές ασφαλείας που συμμετέχουν στο Zero Day Initiative (ZDI) της Trend Micro ανακάλυψαν έξι ελαττώματα που επηρέασαν το D-View στα τέλη του περασμένου έτους και τα ανέφεραν στον προμηθευτή στις 23 Δεκεμβρίου 2022.

Δύο από τα τρωτά σημεία που ανακαλύφθηκαν είναι κρίσιμης σοβαρότητας (βαθμολογία CVSS: 9,8) και παρέχουν στους μη επιβεβαιωμένους επιτιθέμενους ισχυρό μόχλευση στις επηρεαζόμενες εγκαταστάσεις.

Το πρώτο ελάττωμα παρακολουθείται ως CVE-2023-32165 και είναι ένα ελάττωμα απομακρυσμένης εκτέλεσης κώδικα που προκύπτει από την έλλειψη κατάλληλης επικύρωσης μιας διαδρομής που παρέχεται από το χρήστη πριν τη χρήση της σε λειτουργίες αρχείων.

Ένας εισβολέας που εκμεταλλεύεται την ευπάθεια θα μπορούσε να εκτελέσει κώδικα με δικαιώματα SYSTEM, τα οποία για τα Windows, ο κώδικας θα εκτελείται με τα υψηλότερα δικαιώματα, επιτρέποντας ενδεχομένως την πλήρη ανάληψη του συστήματος.

Το δεύτερο κρίσιμο ελάττωμα έχει λάβει το αναγνωριστικό CVE-2023-32169 και είναι ένα πρόβλημα παράκαμψης ελέγχου ταυτότητας που προκύπτει από τη χρήση ενός σκληρού κωδικοποιημένου κρυπτογραφικού κλειδιού στην κλάση TokenUtils του λογισμικού.

Η εκμετάλλευση αυτού του ελαττώματος επιτρέπει την κλιμάκωση των προνομίων, τη μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες, την αλλαγή της διαμόρφωσης και των ρυθμίσεων στο λογισμικό, ακόμη και την εγκατάσταση κερκόπορτων και κακόβουλου λογισμικού.

Η D-Link κυκλοφόρησε μια συμβουλή και για τα έξι ελαττώματα που αναφέρθηκαν από το ZDI, τα οποία επηρεάζουν την έκδοση D-View 8 2.0.1.27 και νεότερη, προτρέποντας τους διαχειριστές να κάνουν αναβάθμιση στη σταθερή έκδοση, 2.0.1.28, που κυκλοφόρησε στις 17 Μαΐου 2023.

“Μόλις η D-Link ενημερώθηκε για τα αναφερόμενα ζητήματα ασφαλείας, ξεκινήσαμε αμέσως την έρευνά μας και ξεκινήσαμε να αναπτύσσουμε ενημερώσεις κώδικα ασφαλείας”, αναφέρει Δελτίο ασφαλείας της D-Link.

Αν και ο προμηθευτής “συνιστά ανεπιφύλακτα” σε όλους τους χρήστες να εγκαταστήσουν την ενημέρωση ασφαλείας, η ανακοίνωση προειδοποιεί επίσης ότι η ενημερωμένη έκδοση κώδικα είναι “λογισμικό beta ή έκδοση επείγουσας επιδιόρθωσης”, που εξακολουθεί να υποβάλλεται σε τελική δοκιμή.

Αυτό σημαίνει ότι η αναβάθμιση σε 2.0.1.28 μπορεί να προκαλέσει προβλήματα ή να δημιουργήσει αστάθεια στο D-View, αλλά η σοβαρότητα των ελαττωμάτων πιθανότατα υπερτερεί τυχόν πιθανών προβλημάτων απόδοσης.

Η εταιρεία συμβουλεύει επίσης τους χρήστες να επαληθεύσουν την αναθεώρηση υλικού των προϊόντων τους ελέγχοντας την κάτω ετικέτα ή τον πίνακα διαμόρφωσης ιστού πριν πραγματοποιήσουν λήψη της αντίστοιχης ενημέρωσης υλικολογισμικού.