De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft donderdag twee beveiligingsfouten die van invloed zijn op D-Link-routers toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, gebaseerd op bewijs van actieve exploitatie.
De lijst met kwetsbaarheden is als volgt:
- CVE-2014-100005 – Een cross-site request forgery (CSRF) kwetsbaarheid die gevolgen heeft voor D-Link DIR-600-routers, waardoor een aanvaller routerconfiguraties kan wijzigen door een bestaande beheerderssessie te kapen
- CVE-2021-40655 – Een kwetsbaarheid voor het vrijgeven van informatie die van invloed is op D-Link DIR-605-routers, waardoor aanvallers een gebruikersnaam en wachtwoord kunnen verkrijgen door een HTTP POST-verzoek naar de /getcfg.php-pagina te vervalsen
Er zijn momenteel geen details over de manier waarop deze tekortkomingen in het wild worden uitgebuit, maar federale instanties zijn aangespoord om tegen 6 juni 2024 door de leverancier verstrekte maatregelen toe te passen.
Het is vermeldenswaard dat CVE-2014-100005 van invloed is op oudere D-Link-producten die de end-of-life (EoL)-status hebben bereikt, waardoor organisaties die ze nog steeds gebruiken, de apparaten moeten terugtrekken en vervangen.
De ontwikkeling komt op het moment dat het SSD Secure Disclosure-team ongepatchte beveiligingsproblemen in DIR-X4860-routers aan het licht bracht, waardoor niet-geauthenticeerde aanvallers op afstand toegang konden krijgen tot de HNAP-poort om verhoogde rechten te verkrijgen en opdrachten als root uit te voeren.
“Door een authenticatie-bypass te combineren met het uitvoeren van opdrachten kan het apparaat volledig worden gecompromitteerd”, aldus het rapport, waarbij de problemen gevolgen hebben voor routers met firmwareversie DIRX4860A1_FWV1.04B03.
SSD Secure Disclosure heeft ook een proof-of-concept (PoC) exploit beschikbaar gesteld, waarbij gebruik wordt gemaakt van een speciaal ontworpen HNAP-inlogverzoek voor de beheerinterface van de router om authenticatiebescherming te omzeilen en code-uitvoering te bewerkstelligen door te profiteren van een kwetsbaarheid voor opdrachtinjectie.
D-Link heeft het probleem sindsdien erkend in een eigen bulletin, waarin staat dat de oplossing “In afwachting van release / in ontwikkeling” is. Het beschreef het probleem als een geval van een niet-geauthenticeerde opdrachtuitvoeringsfout aan de LAN-zijde.
Ivanti herstelt meerdere tekortkomingen in Endpoint Manager Mobile (EPMM)
Cybersecurity-onderzoekers hebben ook een PoC-exploit uitgebracht voor een nieuwe kwetsbaarheid in Ivanti EPMM (CVE-2024-22026, CVSS-score: 6,7), waardoor een geauthenticeerde lokale gebruiker de shell-beperking kan omzeilen en willekeurige opdrachten op het apparaat kan uitvoeren.
“Deze kwetsbaarheid stelt een lokale aanvaller in staat root-toegang tot het systeem te verkrijgen door het software-updateproces te misbruiken met een kwaadaardig RPM-pakket vanaf een externe URL”, aldus Bryan Smith van Redline Cyber Security.
Het probleem komt voort uit een geval van ontoereikende validatie in de installatieopdracht van de EPMM-opdrachtregelinterface, die een willekeurig RPM-pakket kan ophalen van een door de gebruiker opgegeven URL zonder de authenticiteit ervan te verifiëren.
CVE-2024-22026 heeft invloed op alle versies van EPMM vóór 12.1.0.0. Ook gerepareerd door Ivanti zijn twee andere SQL-injectiefouten (CVE-2023-46806 en CVE-2023-46807, CVSS-scores: 6,7) waardoor een geauthenticeerde gebruiker met de juiste rechten toegang zou kunnen krijgen tot gegevens in de onderliggende database of deze zou kunnen wijzigen.
Hoewel er geen bewijs is dat deze fouten zijn misbruikt, wordt gebruikers geadviseerd om te updaten naar de nieuwste versie om potentiële bedreigingen te beperken.
