D-Link ispravlja ranjivosti

Kompanija D-Link ispravlja ranjivosti koje su uočene njihovom D-View 8 paketu za upravljanje mrežom, koje bi mogle omogućiti napadačima zaobilaženje autentifikacije i daljinsko izvršavanje kôda.

D-Link

D-Link ispravlja ranjivosti; Source: Freeimages

Ranjivosti

D-View je paket za upravljanje mrežom koji je razvijen od strane tajvanske kompanije D-Link, koji koriste organizacije različitih veličina za praćenje performansi, upravljanje konfiguracijama uređaja, kreiranje mrežnih mapa i generalno pojednostavljenje upravljanja i administracije mreže.

Sigurnosni istraživači kompanije Trend Micro, članovi Zero Day Initiative (ZDI) su otkrili šest ranjivosti koje utiču na D-View prošle godine i prijavili proizvođaču 23. decembra 2022. godine. Dvije otkrivene ranjivosti nose oznaku kritično (CVSS ocijena: 9.8) i mogu omogućiti napadaču neovlašten pristup.

Prva ranjivost je označena kao CVE-2023-32165 i može omogućiti zloupotrebu daljinskog izvršavanja kôda zbog nedostatka odgovarajuće provjere putanje koju je unio korisnik pre upotrebe u operacijama sa datotekama. Napadač koji koristi ovu ranjivost mogao bi da izvrši kôd sa sistemskim privilegijama, što u slučaju Windows operativnog sistema znači da će kôd biti izvršen sa najvišim privilegijama, što potencijalno omogućava potpuno preuzimanje sistema.

Druga kritična ranjivost je označena kao CVE-2023-32169 i predstavlja problem zaobilaženja autentifikacije koji je rezultat korišćenja tvrdo kodiranog kriptografskog ključa u klasi softvera TokenUtils. Iskorištavanje ove ranjivosti omogućava eskalaciju privilegija, neovlašteni pristup informacijama, promjenu konfiguracije i podešavanja softvera, pa čak i instalaciju zadnjih vrata (eng. backdoor) i zlonamjernog softvera.

 

Zaštita

Kompanija D-Link je objavila uputstvo za korisnike u vezi svih šest pravljenih ranjivosti koje se odnose na  D-View 8 paketu za upravljanje mrežom u verziji 2.0.1.27 i starije, savjetujući  administratore da izvrše nadogradnju na ispravljenu verziju 2.0.1.28 objavljenu 17. maja 2023. godine.

Iako kompanija D-Link preporučuje nadogradnju svim korisnicima, takođe se napominje da se ovdje radi o beta softveru ili hot-fix rješenju koje se još testira. Ovo znači da verzija 2.0.1.28 može izazvati probleme i nestabilnost D-View softvera, ali uzimajući u obzir ozbiljnost ranjivosti možda je prihvatljivo rizikovati promjenu ovog ažuriranja.

Kompanija D-Link takođe savjetuje korisnike da provjere reviziju hardvera svojih proizvoda tako što će provjeriti donju etiketu ili veb konfiguracijski panel pre preuzimanja odgovarajućeg ažuriranja upravljačkog softvera.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.