A D-Link corrigiu duas vulnerabilidades de gravidade crítica em seu suite de gerenciamento de rede D-View 8, que poderiam permitir que atacantes remotos contornassem a autenticação e executasse código arbitrário.
O D-View é um suite de gerenciamento de rede desenvolvida pela empresa taiwanesa de soluções de rede D-Link, usado por empresas de todos os tamanhos para monitorar o desempenho, controlar as configurações do dispositivo, criar mapas de rede e geralmente tornar o gerenciamento e administração de rede mais eficiente e menos demorado.
Pesquisadores de segurança que participam da Iniciativa Zero Day da Trend Micro (ZDI) descobriram seis falhas que afetam o D-View no final do ano passado e as relataram ao fornecedor em 23 de dezembro de 2022.
Duas das vulnerabilidades descobertas são de gravidade crítica (pontuação CVSS: 9,8) e dão aos atacantes não autenticados uma forte alavanca sobre as instalações afetadas.
A primeira falha é rastreada como CVE-2023-32165 e é uma falha de execução remota de código decorrente da falta de validação adequada de um caminho fornecido pelo usuário antes de usá-lo em operações de arquivo.
Um atacante que aproveita a vulnerabilidade pode executar código com privilégios de sistema, o que para o Windows, o código será executado com os privilégios mais altos, permitindo potencialmente a tomada completa do sistema.
A segunda falha crítica recebeu o identificador CVE-2023-32169 e é um problema de bypass de autenticação resultante do uso de uma chave criptográfica codificada no TokenUtils class do software.
A exploração dessa falha permite escalonamento de privilégios, acesso não autorizado a informações, alteração de configuração e configurações no software e até mesmo instalação de backdoors e malware.
A D-Link lançou um parecer sobre todas as seis falhas relatadas pela ZDI, que afetam a versão 2.0.1.27 e abaixo do D-View 8, instando os administradores a atualizar para a versão corrigida, 2.0.1.28, lançada em 17 de maio de 2023.
"Assim que a D-Link tomou conhecimento dos problemas de segurança relatados, iniciamos prontamente nossa investigação e começamos a desenvolver patches de segurança", diz o boletim de segurança da D-Link.
Embora o fornecedor "recomende fortemente" que todos os usuários instalem a atualização de segurança, o anúncio também avisa que o patch é um "software beta ou lançamento de hotfix", ainda em fase final de testes.
Isso significa que a atualização para 2.0.1.28 pode causar problemas ou introduzir instabilidade no D-View, mas a gravidade das falhas provavelmente supera quaisquer problemas de desempenho potenciais.
A empresa também aconselha os usuários a verificar a revisão de hardware de seus produtos verificando o rótulo inferior ou o painel de configuração da web antes de baixar a atualização de firmware correspondente.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...