Две ошибки позволяют выполнять удаленный код и многое другое
D-Link выпустила исправления для двух критических уязвимостей, обнаруженных в пакете управления сетью, которые могут позволить злоумышленникам обойти аутентификацию и удаленно выполнить произвольный код.
Компания исправила две ошибки, обнаруженные в D-View, пакете управления сетью, который различные предприятия используют для общего администрирования и управления сетью.
Уязвимости были обнаружены в конце прошлого года исследователями безопасности, участвующими в инициативе Trend Micro Zero Day Initiative (ZDI). В ходе мероприятия исследователи обнаружили несколько уязвимостей, две из которых особо выделялись: CVE-2023-32165 и CVE-2023-32169. Первая — это уязвимость удаленного выполнения кода, которую можно использовать для выполнения вредоносного кода с системными привилегиями. Последнее, с другой стороны, представляет собой уязвимость обхода аутентификации, которая позволяет повысить привилегии, получить несанкционированный доступ к информации и, в некоторых случаях, установить вредоносное ПО.
Бета-патч
Обе ошибки имеют серьезность 9,8 (критическая). Проблема затрагивает D-View 8 версии 2.9.1.27 и выше. D-Link выпустила обновление около двух недель назад и призывает пользователей установить его как можно скорее.
«Как только D-Link стало известно о выявленных проблемах безопасности, мы немедленно начали расследование и разработку исправлений безопасности», — говорится в бюллетене компании по безопасности. Поставщик также предупредил пользователей, что обновление на самом деле является «бета-выпуском или обновлением программного обеспечения», что означает, что в будущем могут быть внесены дополнительные изменения. Это также означает, что D-View может работать нестабильно или давать сбой после установки обновления.
Поставщик также посоветовал пользователям проверять аппаратную версию своих конечных точек, проверяя нижнюю этикетку или панель веб-конфигурации, чтобы убедиться, что они не загружают неправильное обновление прошивки.
Полный список обнаруженных уязвимостей выглядит следующим образом:
- ZDI-CAN-19496: Уязвимость D-Link D-View TftpSendFileThread, связанная с просмотром информации о каталоге
- ZDI-CAN-19497: Уязвимость D-Link D-View TftpReceiveFileHandler, связанная с обходом каталога и удаленным выполнением кода
- ZDI-CAN-19527: Уязвимость D-Link D-View uploadFile, обход каталога, создание произвольного файла
- ZDI-CAN-19529: Уязвимость D-Link D-View uploadMib, связанная с обходом каталога, созданием или удалением произвольного файла
- ZDI-CAN-19534: D-Link D-View showUser Неверная авторизация Повышение привилегий ZDI-CAN-19659: D-Link D-View использует жестко запрограммированный криптографический ключ для обхода аутентификации
Tоп товаров AliExpress
D-View 8 | D-Link Network Management & Monitoring Software
D-View 8 is a promising and flexible software monitoring tool for networking devices and network administrators. Available for a ...