ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Perşembe günü katma D-Link yönlendiricilerini Bilinen İstismara Uğrayan Güvenlik Açıklarına etkileyen iki güvenlik açığı (KEV) aktif istismarın kanıtlarına dayanan katalog.
Güvenlik açıklarının listesi aşağıdaki gibidir:
- CVE-2014-100005 – Bir saldırganın mevcut bir yönetici oturumunu ele geçirerek yönlendirici yapılandırmalarını değiştirmesine olanak tanıyan, D-Link DIR-600 yönlendiricilerini etkileyen bir siteler arası istek sahteciliği (CSRF) güvenlik açığı
- CVE-2021-40655 – D-Link DIR-605 yönlendiricilerini etkileyen ve saldırganların /getcfg.php sayfasına bir HTTP POST isteği göndererek kullanıcı adı ve parola elde etmesine olanak tanıyan, bilginin açığa çıkması güvenlik açığı
Şu anda bu eksikliklerin doğada nasıl istismar edildiğine dair hiçbir ayrıntı yok, ancak federal kurumlara 6 Haziran 2024’e kadar satıcı tarafından sağlanan hafifletici önlemleri uygulamaya çağrıldı.
CVE-2014-100005’in, kullanım ömrü sonu (EoL) durumuna ulaşmış eski D-Link ürünlerini etkilediğini ve halen bunları kullanan kuruluşların kullanımdan kaldırılmasını ve cihazları değiştirmesini gerektirdiğini belirtmekte fayda var.
Bu gelişme, SSD Güvenli Açıklama ekibinin DIR-X4860 yönlendiricilerinde, kimlik doğrulaması yapılmamış uzak saldırganların yükseltilmiş izinler elde etmek ve komutları root olarak çalıştırmak için HNAP bağlantı noktasına erişmesine olanak verebilecek yamalanmamış güvenlik sorunlarını ortaya çıkarmasıyla ortaya çıktı.
“Kimlik doğrulama bypass’ını komut yürütmeyle birleştirerek cihazın güvenliği tamamen tehlikeye girebilir” söz konusuDIRX4860A1_FWV1.04B03 ürün yazılımı sürümünü çalıştıran yönlendiricileri etkileyen sorunların eklenmesi.
SSD Güvenli Açıklama ayrıca, kimlik doğrulama korumalarını aşmak ve komut ekleme güvenlik açığından yararlanarak kod yürütmeyi gerçekleştirmek için yönlendiricinin yönetim arayüzüne özel hazırlanmış bir HNAP oturum açma isteği kullanan bir kavram kanıtını (PoC) istismarını da kullanıma sundu.
D-Link o zamandan beri kabul edildi Sorunun kendi bülteninde bir düzeltmenin “Yayın Bekleniyor / Geliştirilme Aşamasında” olduğu belirtiliyor. Sorunu, LAN tarafında kimliği doğrulanmamış komut yürütme kusuru olarak tanımladı.
Ivanti, Endpoint Manager Mobile’daki (EPMM) Birden Fazla Kusuru Düzeltti
Siber güvenlik araştırmacıları ayrıca piyasaya sürülmüş Ivanti EPMM’deki (CVE-2024-22026, CVSS puanı: 6,7) kimliği doğrulanmış bir yerel kullanıcının kabuk kısıtlamasını atlamasına ve cihazda rastgele komutlar yürütmesine olanak tanıyan yeni bir güvenlik açığına yönelik bir PoC istismarı.
“Bu güvenlik açığı, yerel bir saldırganın, yazılım güncelleme sürecinden kötü amaçlı bir yazılımla yararlanarak sisteme kök erişimi elde etmesine olanak tanır. RPM paketi uzak bir URL’den,” Redline Cyber Security’den Bryan Smith söz konusu.
Sorun, EPMM komut satırı arayüzünün kurulum komutunda, kullanıcı tarafından sağlanan bir URL’den orijinalliğini doğrulamadan isteğe bağlı bir RPM paketi getirebilen yetersiz doğrulama durumundan kaynaklanmaktadır.
CVE-2024-22026, 12.1.0.0’dan önceki tüm EPMM sürümlerini etkilemektedir. Ayrıca yamalı Ivanti tarafından geliştirilen diğer iki SQL enjeksiyon hatası (CVE-2023-46806 ve CVE-2023-46807, CVSS puanları: 6,7), uygun ayrıcalığa sahip kimliği doğrulanmış bir kullanıcının temel veritabanındaki verilere erişmesine veya bunları değiştirmesine izin verebilir.
Bu kusurlardan yararlanıldığına dair bir kanıt olmasa da, kullanıcıların potansiyel tehditleri azaltmak için en son sürüme güncelleme yapmaları tavsiye ediliyor.