La Agencia de Seguridad de Ciberseguridad e Infraestructura de Estados Unidos (CISA) incluyó dos vulnerabilidades que afectan a enrutadores D-Link en su catálogo de Vulnerabilidades Conocidas Explotadas (KEV) el jueves. Las vulnerabilidades son las siguientes –
CVE-2014-100005: una vulnerabilidad de falsificación de solicitud entre sitios (CSRF) que afecta a los enrutadores D-Link DIR-600.
CVE-2021-40655: una vulnerabilidad de divulgación de información que afecta a los enrutadores D-Link DIR-605.
Actualmente no hay detalles sobre cómo se explotan estas deficiencias, pero se insta a las agencias federales a aplicar las mitigaciones proporcionadas por el proveedor para el 6 de junio de 2024.
CVE-2014-100005 afecta a productos heredados de D-Link que han alcanzado el estado de fin de vida (EoL), lo que requiere que las organizaciones que aún los utilizan se retiren y reemplacen los dispositivos.
Este desarrollo se produce después de que el equipo de Divulgación Segura SSD revelara problemas de seguridad no parcheados en los enrutadores DIR-X4860 que podrían permitir que atacantes remotos no autenticados accedan al puerto HNAP para obtener permisos elevados y ejecutar comandos como root.
SSD Secure Disclosure también ha puesto a disposición un exploit de prueba de concepto (PoC), que utiliza una solicitud de inicio de sesión HNAP especialmente diseñada para la interfaz de administración del enrutador para eludir las protecciones de autenticación y lograr la ejecución de código aprovechando una vulnerabilidad de inyección de comandos.
D-Link ha reconocido el problema en un boletín propio, afirmando que la solución está «pendiente de lanzamiento/desarrollo». Describió la vulnerabilidad como un caso de fallo de ejecución de comandos no autenticados en la LAN.
En un desarrollo relacionado, los investigadores de ciberseguridad han publicado un exploit de prueba de concepto para una nueva vulnerabilidad en Ivanti EPMM (CVE-2024-22026, puntuación CVSS: 6.7) que podría permitir a un usuario local autenticado evitar la restricción de shell y ejecutar comandos arbitrarios en el dispositivo.
El problema surge de una validación inadecuada en la interfaz de línea de comandos de EPMM, que puede obtener un paquete RPM arbitrario de una URL proporcionada por el usuario sin verificar su autenticidad.
CVE-2024-22026 afecta a todas las versiones de EPMM anteriores a la 12.1.0.0. También parcheados por Ivanti son dos otras fallas de inyección SQL en el mismo producto (CVE-2023-46806 y CVE-2023-46807, puntuaciones CVSS: 6.7).
Si bien no hay evidencia de que estas fallas hayan sido explotadas, se recomienda a los usuarios que actualicen a la última versión para mitigar posibles amenazas.
Vía The Hacker News
