Ciberseguridad 360 | CISA advierte de la explotación activa de vulnerabilidades en routers D-Link

La Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) de Estados Unidos a�adi� el jueves dos fallos de seguridad que afectan a los routers D-Link a su cat�logo de Vulnerabilidades Explotadas Conocidas (KEV), bas�ndose en pruebas de explotaci�n activa.

La lista de vulnerabilidades es la siguiente:

CVE-2014-100005 - Una vulnerabilidad de falsificaci�n de solicitud de sitio cruzado (CSRF) que afecta a los routers D-Link DIR-600 y que permite a un atacante cambiar la configuraci�n del router secuestrando una sesi�n de administrador existente.

CVE-2021-40655 - Una vulnerabilidad de divulgaci�n de informaci�n que afecta a los routers D-Link DIR-605 y que permite a los atacantes obtener un nombre de usuario y una contrase�a falsificando una solicitud HTTP POST a la p�gina /getcfg.php.

Actualmente no hay detalles sobre c�mo se explotan estas deficiencias en la naturaleza, pero se ha instado a las agencias federales a aplicar las mitigaciones proporcionadas por los proveedores antes del 6 de junio de 2024.

Cabe se�alar que CVE-2014-100005 afecta a productos D-Link antiguos que han llegado al final de su vida �til, por lo que las organizaciones que a�n los utilizan deben retirarlos y sustituirlos.

El desarrollo se produce cuando el equipo de SSD Secure Disclosure revel� problemas de seguridad sin parches en los routers DIR-X4860 que podr�an permitir a atacantes remotos no autenticados acceder al puerto HNAP para obtener permisos elevados y ejecutar comandos como root.

"Combinando un bypass de autenticaci�n con la ejecuci�n de comandos, el dispositivo puede verse completamente comprometido", afirma, a�adiendo que los problemas afectan a los routers que ejecutan la versi�n de firmware DIRX4860A1_FWV1.04B03.

SSD Secure Disclosure tambi�n ha puesto a disposici�n un exploit de prueba de concepto (PoC), que emplea una solicitud de inicio de sesi�n HNAP especialmente dise�ada para la interfaz de gesti�n del router para eludir las protecciones de autenticaci�n y lograr la ejecuci�n de c�digo aprovechando una vulnerabilidad de inyecci�n de comandos.

D-Link ha reconocido el problema en un bolet�n propio, indicando que la soluci�n est� "Pendiente de publicaci�n / En desarrollo". Describi� la vulnerabilidad como un caso de fallo de ejecuci�n de comandos no autenticados del lado de la LAN.

Ivanti corrige m�ltiples fallos en Endpoint Manager Mobile (EPMM)

Los investigadores de ciberseguridad tambi�n han publicado un exploit PoC para una nueva vulnerabilidad en Ivanti EPMM (CVE-2024-22026, puntuaci�n CVSS: 6,7) que podr�a permitir a un usuario local autenticado saltarse la restricci�n de shell y ejecutar comandos arbitrarios en el dispositivo.

"Esta vulnerabilidad permite a un atacante local obtener acceso root al sistema aprovechando el proceso de actualizaci�n de software con un paquete RPM malicioso desde una URL remota", explica Bryan Smith, de Redline Cyber Security.

El problema se deriva de un caso de validaci�n inadecuada en el comando de instalaci�n de la interfaz de l�nea de comandos de EPMM, que puede obtener un paquete RPM arbitrario de una URL proporcionada por el usuario sin verificar su autenticidad.

CVE-2024-22026 afecta a todas las versiones de EPMM anteriores a la 12.1.0.0. Ivanti tambi�n ha parcheado otros dos fallos de inyecci�n SQL en el mismo producto (CVE-2023-46806 y CVE-2023-46807, puntuaci�n CVSS: 6,7) que podr�an permitir a un usuario autenticado con los privilegios adecuados acceder a los datos de la base de datos subyacente o modificarlos.

Aunque no hay pruebas de que estos fallos hayan sido explotados, se recomienda a los usuarios que actualicen a la �ltima versi�n para mitigar posibles amenazas.

Fuente: thehackernews