آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) روز پنجشنبه ۱۶ می ۲۰۲۴ بر اساس شواهدی مبنی بر بهرهبرداری فعال، دو نقص امنیتی را که بر روترهای D-Link تأثیر می گذارد، به فهرست آسیبپذیریهای شناخته شده ([۱]KEV) اضافه کرد[۲].
لیست آسیب پذیری ها به شرح زیر است:
- CVE-2014-100005 – یک آسیبپذیری جعل درخواست متقابل (CSRF) که بر روترهای D-Link DIR-600 تأثیر میگذارد که به مهاجم اجازه میدهد تنظیمات روتر را با ربودن یک جلسه مدیر موجود تغییر دهد.[۳]
- CVE-2021-40655 – یک آسیبپذیری افشای اطلاعات که روترهای D-Link DIR-605 را تحت تأثیر قرار میدهد که به مهاجمان اجازه میدهد با جعل درخواست HTTP POST به صفحه /php یک نام کاربری و رمز عبور به دست آورند.[۴]
در حال حاضر هیچ جزئیاتی در مورد نحوه بهرهبرداری از این نقصها در سطح اینترنت وجود ندارد، اما از آژانسهای فدرال خواسته شده است تا ۶ ژوئن ۲۰۲۴ اقدامات پیشگیرانهی ارائه شده توسط فروشنده را اعمال کنند.
شایانذکر است که CVE-2014-100005 بر محصولات قدیمی D-Link که به وضعیت پایان عمر (EoL) رسیدهاند، تأثیر میگذارد و لازم است سازمانهایی که هنوز از آنها استفاده میکنند این دستگاهها را جایگزین کنند.
این توسعه زمانی انجام میشود که تیم افشای امن SSD مسائل امنیتی وصله نشده را در روترهای DIR-X4860 فاش کرد که میتواند مهاجمان غیرقانونی از راه دور را قادر سازد تا به پورت HNAP دسترسی پیدا کنند تا مجوزهای بالاتر را دریافت کنند و دستورات را بهعنوان روت اجرا کنند.
این تیم با اضافهکردن مشکلاتی که روترهایی که نسخه سیستم افزار DIRX4860A1_FWV1.04B03 را اجرا میکنند، میگوید[۵]: «با ترکیب یک دورزدن احراز هویت با اجرای دستور، دستگاه میتواند به طور کامل به خطر بیفتد.»
SSD Secure Disclosure همچنین یک بهرهبردار اثبات ادعا (PoC) را در دسترس قرار داده است که از یک درخواست ورود به سیستم HNAP ساخته شده ویژه به رابط مدیریت روتر استفاده میکند تا با استفاده از آسیبپذیری تزریق دستور، حفاظتهای احراز هویت را دور بزند و به اجرای کد دست یابد.
D-Link از آن زمان این مشکل را در یک بولتن خاص خود تأیید کرده است[۶] و بیان میکند که راهحل “در انتظار انتشار/درحالتوسعه” است. این آسیبپذیری را بهعنوان موردی از نقص اجرای دستور تأیید نشده در سمت LAN توصیف کرد.
Ivanti چندین نقص را در Endpoint Manager Mobile (EPMM) اصلاح میکند.
محققان امنیت سایبری همچنین یک بهرهبردار اثبات ادعا را برای یک آسیبپذیری جدید در Ivanti EPMM (CVE-2024-22026، امتیاز ۷/۶ در مقیاس CVSS) منتشر کردهاند[۷] که میتواند به کاربر محلی تأیید شده اجازه دهد محدودیت پوسته را دور بزند و دستورات دلخواه را روی دستگاه اجرا کند.
برایان اسمیت از Redline Cyber Security گفت[۸]: «این آسیبپذیری به مهاجم محلی اجازه میدهد تا با بهرهبرداری از فرایند بهروزرسانی نرمافزار با یک بسته RPM مخرب[۹] از یک URL راه دور، به سیستم دسترسی ریشه داشته باشد».
مشکل از یک مورد اعتبارسنجی ناکافی در دستور نصب رابط خط فرمان EPMM ناشی میشود که میتواند یک بسته RPM دلخواه را از URL ارائه شده توسط کاربر بدون تأیید صحت آن fetch کند.
CVE-2024-22026 تمام نسخههای EPMM قبل از ۱۲٫۱٫۰٫۰ را تحت تأثیر قرار می دهد. همچنین توسط Ivanti دو نقص تزریق SQL دیگر در همان محصول (CVE-2023-46806 و CVE-2023-46807، امتیاز ۷/۶ در مقیاس CVSS) وصله شده است[۱۰] که می تواند به کاربر احراز هویت شده با امتیاز مناسب اجازه دسترسی یا تغییر داده ها در پایگاه داده زیربنایی را بدهد.
درحالیکه هیچ مدرکی دال بر بهرهبرداری از این نقصها وجود ندارد، به کاربران توصیه میشود برای کاهش تهدیدات احتمالی به آخرین نسخه بهروزرسانی کنند.
منابع
[۱] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[۲] https://www.cisa.gov/news-events/alerts/2024/05/16/cisa-adds-three-known-exploited-vulnerabilities-catalog
[۳] https://nvd.nist.gov/vuln/detail/CVE-2014-100005
[۴] https://nvd.nist.gov/vuln/detail/CVE-2021-40655
[۵] https://ssd-disclosure.com/ssd-advisory-d-link-dir-x4860-security-vulnerabilities
[۶] https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10390
[۷] https://github.com/securekomodo/CVE-2024-22026
[۸] https://en.wikipedia.org/wiki/RPM_Package_Manager
[۹] https://www.redlinecybersecurity.com/blog/exploiting-cve-2024-22026-rooting-ivanti-epmm-mobileiron-core
[۱۰] https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US
[۱۱] https://thehackernews.com/2024/05/cisa-warns-of-actively-exploited-d-link.html
ثبت ديدگاه