D-Link, D-View 8 Ağ Yönetimi Suite'ında uzak saldırganların kimlik doğrulamasını atlamasına ve keyfi kod yürütmesine izin verebilecek iki kritik-terslik güvenlik açığını düzeltti.
D-View, performansı izlemek, cihaz yapılandırmalarını kontrol etmek, ağ haritalarını oluşturmak ve genellikle ağ yönetimini ve yönetimi daha verimli ve daha az zamanlı hale getirmek için her boyutta işletmeler tarafından kullanılan Tayvanlı Ağ Çözümleri satıcısı D-Link tarafından geliştirilen bir ağ yönetimi paketidir. tüketme.
Trend Micro'nun Sıfır Günü Girişimi'ne (ZDI) katılan güvenlik araştırmacıları, geçen yılın sonlarında D-görünümünü etkileyen altı kusur keşfetti ve 23 Aralık 2022'de satıcıya bildirdi.
Keşfedilen güvenlik açıklarından ikisi kritik ciddiyettir (CVSS skoru: 9.8) ve kimlik doğrulanmamış saldırganlara etkilenen kurulumlara göre güçlü bir kaldıraç verin.
İlk kusur CVE-2023-32165 olarak izlenir ve dosya işlemlerinde kullanılmadan önce kullanıcı tarafından sağlanan bir yolun doğru doğrulanmasının eksikliğinden kaynaklanan bir uzaktan kod yürütme kusurudur.
Güvenlik açığından yararlanan bir saldırgan, Windows için, kodun en yüksek ayrıcalıklarla çalışacak ve potansiyel olarak tam sistem devralmasına izin verecek olan sistem ayrıcalıklarıyla kod yürütebilir.
İkinci kritik kusur, CVE-2023-32169 tanımlayıcısını aldı ve yazılımın Tokenutils sınıfında sert kodlanmış bir kriptografik anahtar kullanmaktan kaynaklanan bir kimlik doğrulama baypas problemidir.
Bu kusurdan yararlanmak, ayrıcalık artışına, bilgilere yetkisiz erişim, yazılım üzerindeki yapılandırmanın ve ayarların değiştirilmesine ve hatta backdoors ve kötü amaçlı yazılımların kurulmasına izin verir.
D-Link, ZDI tarafından bildirilen ve D-View 8 sürüm 2.0.1.27 ve altındaki etkileyen altı kusurun hepsinde bir danışmanlık yayınladı ve yöneticileri 17 Mayıs 2023'te piyasaya sürülen sabit sürüm 2.0.1.28'e yükseltmeye çağırdı.
D-Link'in güvenlik bültenini, "D-Link bildirilen güvenlik sorunlarından haberdar edilir olmaz derhal soruşturmamıza başlamıştık ve güvenlik yamaları geliştirmeye başladık."
Satıcı, tüm kullanıcıları güvenlik güncellemesini yüklemelerini "şiddetle tavsiye etmesine" rağmen, duyuru, yamanın "beta yazılımı veya sıcak tutma sürümü" olduğu konusunda hala son testlerden geçtiği konusunda uyarıyor.
Bu, 2.0.1.28'e yükseltmenin sorunlara neden olabileceği veya D-görünümüne istikrarsızlık getirebileceği anlamına gelir, ancak kusurların ciddiyeti muhtemelen herhangi bir potansiyel performans sorunundan daha ağır basar.
Şirket ayrıca kullanıcılara, ilgili ürün yazılımı güncellemesini indirmeden önce alt taraf etiketini veya web yapılandırma panelini kontrol ederek ürünlerinin donanım revizyonunu doğrulamalarını tavsiye eder.
FBI: BL00DY RANSOMWARE, Kağıtkaz Saldırılarında Eğitim Orgs'ı hedefler
Mevcut tespitleri atlayan yeni Papercut RCE istismar
Bilgisayar korsanları TBK DVR cihazlarında 5 yaşındaki 5 yaşındaki açılmamış kusurdan istismar
VMware, Vrealize Günlük Analizi Aracı'ndaki kritik güvenlik hatalarını düzeltir
Zyxel, güvenlik duvarı ve VPN cihazlarındaki kritik güvenlik açıklarını uyarıyor
Kaynak: Bleeping Computer