D-Link, ağ yönetimi paketinde bulunan ve tehdit aktörlerinin kimlik doğrulamasını atlamasına ve uzaktan rastgele kod yürütmesine olanak verebilecek iki kritik güvenlik açığı için yamalar yayınladı.
Şirket, çeşitli işletmelerin genel ağ yönetimi ve idaresi için kullandığı ağ yönetim paketi olan D-View’da bulunan iki kusuru düzeltti.
Açıklar, Trend Micro’nun Zero Day Initiative (ZDI) programına katılan güvenlik araştırmacıları tarafından geçen yılın sonlarında keşfedildi. Etkinlik sırasında, araştırmacılar öne çıkan iki güvenlik açığıyla birden çok güvenlik açığı buldu: CVE-2023-32165 ve CVE-2023-32169. İlki, SİSTEM ayrıcalıklarıyla kötü amaçlı kod çalıştırmak için kullanılabilecek bir uzaktan kod yürütme hatasıdır. İkincisi ise ayrıcalığın artırılmasına, bilgilere yetkisiz erişime ve bazı durumlarda kötü amaçlı yazılım yüklenmesine izin veren bir kimlik doğrulama atlama güvenlik açığıdır.
beta yaması
Her iki kusur da 9.8 (kritik) önem derecesine sahiptir. Sorun, D-View 8 sürüm 2.9.1.27 ve daha eski sürümlerini etkiler. D-Link yamayı yaklaşık iki hafta önce yayınladı ve şimdi kullanıcıları mümkün olan en kısa sürede uygulamaya çağırıyor.
Şirket, bir güvenlik danışma belgesinde, “D-Link, bildirilen güvenlik sorunlarından haberdar olur olmaz, derhal araştırmamıza başladık ve güvenlik yamaları geliştirmeye başladık.” Satıcı ayrıca, kullanıcıları yamanın aslında “beta yazılım veya düzeltme sürümü” olduğu konusunda uyardı, yani gelecekte ek değişiklikler olabilir. Ayrıca, yamanın eklenmesinden sonra D-View’ın kararsız olabileceği veya çökebileceği anlamına gelir.
Satıcı ayrıca kullanıcılara, yanlış üretici yazılımı güncellemesini indirmemeleri için alt taraftaki etiketi veya web yapılandırma panelini inceleyerek uç noktalarının donanım revizyonunu doğrulamalarını söyledi.
Keşfedilen güvenlik açıklarının tam listesi şu şekilde:
- ZDI-CAN-19496: D-Link D-View TftpSendFileThread Dizin Geçişinde Bilginin Açığa Çıkması Güvenlik Açığı
- ZDI-CAN-19497: D-Link D-View TftpReceiveFileHandler Dizin Geçişi Uzaktan Kod Yürütme Güvenlik Açığı
- ZDI-CAN-19527: D-Link D-View karşıya yüklemeDosya Dizini Geçişi İsteğe Bağlı Dosya Oluşturma Güvenlik Açığı
- ZDI-CAN-19529: D-Link D-View uploadMib Dizini Geçişi İsteğe Bağlı Dosya Oluşturma veya Silme Güvenlik Açığı
- ZDI-CAN-19534: D-Link D-View showUser Uygun Olmayan Yetkilendirme Yetki Yükseltmesi ZDI-CAN-19659: D-Link D-View Sabit Kodlanmış Kriptografik Anahtar Kimlik Doğrulamasını Atlama Güvenlik Açığı Kullanımı
Aracılığıyla: BleepingBilgisayar