D-Link corrige falhas de autenticação e RCE no software D-View 8
26 de Maio de 2023

A D-Link corrigiu duas vulnerabilidades de gravidade crítica em seu suite de gerenciamento de rede D-View 8, que poderiam permitir que atacantes remotos contornassem a autenticação e executasse código arbitrário.

O D-View é um suite de gerenciamento de rede desenvolvida pela empresa taiwanesa de soluções de rede D-Link, usado por empresas de todos os tamanhos para monitorar o desempenho, controlar as configurações do dispositivo, criar mapas de rede e geralmente tornar o gerenciamento e administração de rede mais eficiente e menos demorado.

Pesquisadores de segurança que participam da Iniciativa Zero Day da Trend Micro (ZDI) descobriram seis falhas que afetam o D-View no final do ano passado e as relataram ao fornecedor em 23 de dezembro de 2022.

Duas das vulnerabilidades descobertas são de gravidade crítica (pontuação CVSS: 9,8) e dão aos atacantes não autenticados uma forte alavanca sobre as instalações afetadas.

A primeira falha é rastreada como CVE-2023-32165 e é uma falha de execução remota de código decorrente da falta de validação adequada de um caminho fornecido pelo usuário antes de usá-lo em operações de arquivo.

Um atacante que aproveita a vulnerabilidade pode executar código com privilégios de sistema, o que para o Windows, o código será executado com os privilégios mais altos, permitindo potencialmente a tomada completa do sistema.

A segunda falha crítica recebeu o identificador CVE-2023-32169 e é um problema de bypass de autenticação resultante do uso de uma chave criptográfica codificada no TokenUtils class do software.

A exploração dessa falha permite escalonamento de privilégios, acesso não autorizado a informações, alteração de configuração e configurações no software e até mesmo instalação de backdoors e malware.

A D-Link lançou um parecer sobre todas as seis falhas relatadas pela ZDI, que afetam a versão 2.0.1.27 e abaixo do D-View 8, instando os administradores a atualizar para a versão corrigida, 2.0.1.28, lançada em 17 de maio de 2023.

"Assim que a D-Link tomou conhecimento dos problemas de segurança relatados, iniciamos prontamente nossa investigação e começamos a desenvolver patches de segurança", diz o boletim de segurança da D-Link.

Embora o fornecedor "recomende fortemente" que todos os usuários instalem a atualização de segurança, o anúncio também avisa que o patch é um "software beta ou lançamento de hotfix", ainda em fase final de testes.

Isso significa que a atualização para 2.0.1.28 pode causar problemas ou introduzir instabilidade no D-View, mas a gravidade das falhas provavelmente supera quaisquer problemas de desempenho potenciais.

A empresa também aconselha os usuários a verificar a revisão de hardware de seus produtos verificando o rótulo inferior ou o painel de configuração da web antes de baixar a atualização de firmware correspondente.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...