D-Link ispravlja ranjivosti

Kompanija D-Link ispravlja ranjivosti koje su uočene njihovom D-View 8 paketu za upravljanje mrežom, koje bi mogle omogućiti napadačima zaobilaženje autentifikacije i daljinsko izvršavanje kôda.

D-Link ispravlja ranjivosti; Source: Freeimages

Ranjivosti

D-View je paket za upravljanje mrežom koji je razvijen od strane tajvanske kompanije D-Link, koji koriste organizacije različitih veličina za praćenje performansi, upravljanje konfiguracijama uređaja, kreiranje mrežnih mapa i generalno pojednostavljenje upravljanja i administracije mreže.

Sigurnosni istraživači kompanije Trend Micro, članovi Zero Day Initiative (ZDI) su otkrili šest ranjivosti koje utiču na D-View prošle godine i prijavili proizvođaču 23. decembra 2022. godine. Dvije otkrivene ranjivosti nose oznaku kritično (CVSS ocijena: 9.8) i mogu omogućiti napadaču neovlašten pristup.

Prva ranjivost je označena kao CVE-2023-32165 i može omogućiti zloupotrebu daljinskog izvršavanja kôda zbog nedostatka odgovarajuće provjere putanje koju je unio korisnik pre upotrebe u operacijama sa datotekama. Napadač koji koristi ovu ranjivost mogao bi da izvrši kôd sa sistemskim privilegijama, što u slučaju Windows operativnog sistema znači da će kôd biti izvršen sa najvišim privilegijama, što potencijalno omogućava potpuno preuzimanje sistema.

Druga kritična ranjivost je označena kao CVE-2023-32169 i predstavlja problem zaobilaženja autentifikacije koji je rezultat korišćenja tvrdo kodiranog kriptografskog ključa u klasi softvera TokenUtils. Iskorištavanje ove ranjivosti omogućava eskalaciju privilegija, neovlašteni pristup informacijama, promjenu konfiguracije i podešavanja softvera, pa čak i instalaciju zadnjih vrata (eng. backdoor) i zlonamjernog softvera.

Zaštita

Kompanija D-Link je objavila uputstvo za korisnike u vezi svih šest pravljenih ranjivosti koje se odnose na  D-View 8 paketu za upravljanje mrežom u verziji 2.0.1.27 i starije, savjetujući  administratore da izvrše nadogradnju na ispravljenu verziju 2.0.1.28 objavljenu 17. maja 2023. godine.

Iako kompanija D-Link preporučuje nadogradnju svim korisnicima, takođe se napominje da se ovdje radi o beta softveru ili hot-fix rješenju koje se još testira. Ovo znači da verzija 2.0.1.28 može izazvati probleme i nestabilnost D-View softvera, ali uzimajući u obzir ozbiljnost ranjivosti možda je prihvatljivo rizikovati promjenu ovog ažuriranja.

Kompanija D-Link takođe savjetuje korisnike da provjere reviziju hardvera svojih proizvoda tako što će provjeriti donju etiketu ili veb konfiguracijski panel pre preuzimanja odgovarajućeg ažuriranja upravljačkog softvera.