CISA advierte sobre vulnerabilidades explotadas activamente en routers D-Link – Parchear ahora

Luis Quiles

mayo 20, 2024

Seguridad de la red, Vulnerabilidad

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. (CISA) añadió el jueves dos vulnerabilidades que afectan a los routers D-Link a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV), basándose en pruebas de explotación activa.

La lista de vulnerabilidades es la siguiente:

CVE-2014-100005: Una vulnerabilidad de falsificación de solicitudes entre sitios (CSRF) que afecta a los routers D-Link DIR-600 y permite a un atacante cambiar la configuración del router secuestrando una sesión de administrador existente.
CVE-2021-40655: Una vulnerabilidad de divulgación de información que afecta a los routers D-Link DIR-605 y permite a los atacantes obtener un nombre de usuario y contraseña falsificando una solicitud HTTP POST a la página /getcfg.php.

Actualmente no hay detalles sobre cómo se están explotando estas vulnerabilidades en la práctica, pero se ha instado a las agencias federales a aplicar las mitigaciones proporcionadas por el proveedor antes del 6 de junio de 2024.

Cabe señalar que CVE-2014-100005 afecta a productos heredados de D-Link que han alcanzado el estado de fin de vida útil (EoL), lo que requiere que las organizaciones que aún los usan los retiren y reemplacen los dispositivos.

Este desarrollo surge cuando el equipo de SSD Secure Disclosure reveló problemas de seguridad no parcheados en los routers DIR-X4860 que podrían permitir a atacantes remotos no autenticados acceder al puerto HNAP para obtener permisos elevados y ejecutar comandos como root.

«Al combinar una omisión de autenticación con la ejecución de comandos, el dispositivo puede ser completamente comprometido», dijeron, añadiendo que los problemas afectan a los routers que ejecutan la versión de firmware DIRX4860A1_FWV1.04B03.

SSD Secure Disclosure también ha puesto a disposición un exploit de prueba de concepto (PoC), que emplea una solicitud de inicio de sesión HNAP especialmente diseñada a la interfaz de gestión del router para eludir las protecciones de autenticación y lograr la ejecución de código aprovechando una vulnerabilidad de inyección de comandos.

D-Link ha reconocido el problema en un boletín propio, indicando que una solución está «Pendiente de lanzamiento / En desarrollo». Describió la vulnerabilidad como un caso de ejecución de comandos no autenticada del lado LAN.

Ivanti corrige múltiples vulnerabilidades en Endpoint Manager Mobile (EPMM).

Los investigadores de ciberseguridad también han publicado un exploit de prueba de concepto para una nueva vulnerabilidad en Ivanti EPMM (CVE-2024-22026, puntuación CVSS: 6.7) que podría permitir a un usuario local autenticado evadir la restricción de shell y ejecutar comandos arbitrarios en el dispositivo.

«Esta vulnerabilidad permite a un atacante local obtener acceso de root al sistema explotando el proceso de actualización de software con un paquete RPM malicioso desde una URL remota», dijo Bryan Smith de Redline Cyber Security.

El problema proviene de una validación inadecuada en el comando de instalación de la interfaz de línea de comandos de EPMM, que puede obtener un paquete RPM arbitrario de una URL proporcionada por el usuario sin verificar su autenticidad.

CVE-2024-22026 afecta a todas las versiones de EPMM anteriores a 12.1.0.0. Ivanti también corrigió dos otras vulnerabilidades de inyección SQL en el mismo producto (CVE-2023-46806 y CVE-2023-46807, puntuaciones CVSS: 6.7) que podrían permitir a un usuario autenticado con los privilegios apropiados acceder o modificar datos en la base de datos subyacente.

Aunque no hay evidencia de que estas vulnerabilidades hayan sido explotadas, se recomienda a los usuarios que actualicen a la última versión para mitigar posibles amenazas.

Tags :