A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na quinta-feira duas falhas de segurança que afetam os roteadores D-Hyperlink ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.
A lista de vulnerabilidades é a seguinte –
- CVE-2014-100005 – Uma vulnerabilidade de falsificação de solicitação entre websites (CSRF) que afeta os roteadores D-Hyperlink DIR-600 e permite que um invasor altere as configurações do roteador sequestrando uma sessão de administrador existente
- CVE-2021-40655 – Uma vulnerabilidade de divulgação de informações que afeta os roteadores D-Hyperlink DIR-605 que permite que invasores obtenham um nome de usuário e uma senha forjando uma solicitação HTTP POST para a página /getcfg.php
Atualmente não há detalhes sobre como essas deficiências são exploradas, mas as agências federais foram instadas a aplicar mitigações fornecidas pelo fornecedor até 6 de junho de 2024.
É importante notar que o CVE-2014-100005 afeta produtos legados da D-Hyperlink que atingiram o standing de fim de vida (EoL), exigindo que as organizações que ainda os utilizam retirem e substituam os dispositivos.
O desenvolvimento ocorre no momento em que a equipe SSD Safe Disclosure revela problemas de segurança não corrigidos em roteadores DIR-X4860 que podem permitir que invasores remotos não autenticados acessem a porta HNAP para obter permissões elevadas e executar comandos como root.
“Ao combinar um desvio de autenticação com a execução de comandos, o dispositivo pode ser completamente comprometido”, disse, acrescentando que os problemas afetam os roteadores que executam a versão de firmware DIRX4860A1_FWV1.04B03.
O SSD Safe Disclosure também disponibilizou uma exploração de prova de conceito (PoC), que emprega uma solicitação de login HNAP especialmente criada para a interface de gerenciamento do roteador para contornar as proteções de autenticação e obter a execução de código, aproveitando uma vulnerabilidade de injeção de comando.
Desde então, a D-Hyperlink reconheceu o problema em um boletim próprio, afirmando que uma correção é “Lançamento Pendente/Em Desenvolvimento”. Ele descreveu o problema como um caso de falha de execução de comando não autenticado no lado da LAN.
Ivanti corrige diversas falhas no Endpoint Supervisor Cell (EPMM)
Pesquisadores de segurança cibernética também lançaram uma exploração PoC para uma nova vulnerabilidade no Ivanti EPMM (CVE-2024-22026, pontuação CVSS: 6,7) que poderia permitir que um usuário native autenticado contornasse a restrição do shell e executasse comandos arbitrários no dispositivo.
“Essa vulnerabilidade permite que um invasor native obtenha acesso root ao sistema, explorando o processo de atualização de software program com um pacote RPM malicioso a partir de uma URL remota”, disse Bryan Smith, da Redline Cyber Safety.
O problema decorre de um caso de validação inadequada no comando de instalação da interface de linha de comando EPMM, que pode buscar um pacote RPM arbitrário de uma URL fornecida pelo usuário sem verificar sua autenticidade.
CVE-2024-22026 afeta todas as versões do EPMM anteriores a 12.1.0.0. Também foram corrigidas pela Ivanti duas outras falhas de injeção de SQL (CVE-2023-46806 e CVE-2023-46807, pontuações CVSS: 6,7) que podem permitir que um usuário autenticado com privilégio apropriado acesse ou modifique dados no banco de dados subjacente.
Embora não haja evidências de que essas falhas tenham sido exploradas, os usuários são aconselhados a atualizar para a versão mais recente para mitigar ameaças potenciais.
