CISA D-Link Router-Schwachstellen werden aktiv ausgenutzt
Am Donnerstag hat die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) zwei Sicherheitsschwachstellen die D-Link-Router betreffen, in ihre CISA Known Exploited Vulnerabilities (KEV) Katalog aufgenommen, da eine aktive Ausnutzung bestätigt wurde. Bundesbehörden werden dringend aufgefordert, bis zum 6. Juni 2024 vom Hersteller bereitgestellte Abhilfemaßnahmen zu implementieren, um diese Bedrohungen zu beseitigen. In diesem Artikel enthüllen wir die CISA-D-Link-Router-Schwachstellen und Präventivmaßnahmen, die ergriffen werden können.
Identifizierte CISA D-Link Router-Schwachstellen
Die U.S. Cybersecurity and Infrastructure Security Agency (CISA) hat kürzlich auf zwei kritische CISA D-Link-Router-Schwachstellen. Diese Schwachstellen werden derzeit aktiv ausgenutzt und stellen ein erhebliches Risiko für die Netzwerksicherheit dar.
- CVE-2014-100005
Bei dieser Schwachstelle handelt es sich um einen Cross-Site-Request-Forgery (CSRF)-Fehler, der in D-Link DIR-600-Routern gefunden wurde. Sie ermöglicht es Angreifern, die Konfiguration des Routers zu ändern, indem sie eine bestehende Administratorensitzung kapern. Diese Schwachstelle kann besonders gefährlich sein, da sie ohne das Wissen des Administrators ausgenutzt werden kann.
2. CVE-2021-40655
Bei der zweiten Schwachstelle, CVE-2021-40655, handelt es sich um eine Schwachstelle zur Offenlegung von Informationen in D-Link DIR-605-Routern. Angreifer können diese Schwachstelle ausnutzen, um sensible Informationen wie Benutzernamen und Kennwörter zu erhalten, indem sie eine HTTP-POST-Anfrage an die Seite /getcfg.php fälschen.
Zwar werden keine spezifischen Ausnutzungsmethoden genannt, doch die Dringlichkeit der Anwendung der notwendigen Abhilfemaßnahmen ist klar. Insbesondere betrifft CVE-2014-100005 ältere D-Link-Produkte, deren Lebensdauer abgelaufen ist. Für Unternehmen, die diese Geräte noch verwenden, ist es daher wichtig, sie durch neuere, unterstützte Modelle zu ersetzen.
Neue Sicherheitslücken in DIR-X4860 Routern
Zusätzlich zu diesen bekannten CISA D-Link Router Sicherheitslückenhat das SSD Secure Disclosure Team ungepatchte Sicherheitslücken in D-Link DIR-X4860 Routern identifiziert. Diese Schwachstellen ermöglichen es entfernten, nicht authentifizierten Angreifern, auf den HNAP-Port zuzugreifen, erhöhte Berechtigungen zu erlangen und Befehle als root auszuführen.
Durch die Kombination einer Umgehung der Authentifizierung mit der Ausführung von Befehlen können Angreifer das Gerät vollständig kompromittieren. Diese Schwachstellen betreffen Router mit der Firmware-Version DIRX4860A1_FWV1.04B03.
SSD Secure Disclosure hat außerdem ein Proof-of-Concept (PoC) Exploit veröffentlicht, das zeigt, wie eine speziell gestaltete HNAP-Anmeldeanforderung den Authentifizierungsschutz umgehen und Codeausführung durch eine Befehlsinjektionsschwachstelle erreichen kann.
D-Link hat diese Probleme in einem Bulletin bestätigt und darauf hingewiesen, dass ein Fix derzeit "Pending Release / Under Development" ist. Das Unternehmen beschreibt die Schwachstelle als einen LAN-seitigen, nicht authentifizierten Fehler bei der Befehlsausführung und betont die Notwendigkeit einer zeitnahen Lösung.
Ivanti Endpoint Manager Mobile (EPMM) Schwachstelle
Cybersecurity-Forscher haben außerdem einen PoC-Exploit für eine neue Schwachstelle in Ivantis Endpoint Manager Mobile (EPMM) veröffentlicht, die als CVE-2024-22026 identifiziert wurde und einen CVSS-Wert von 6,7 aufweist. Diese Schwachstelle erlaubt es einem authentifizierten lokalen Benutzer, die Shell-Beschränkungen zu umgehen und beliebige Befehle auf der Appliance auszuführen. Entfernte Code-Ausführung (RCE) Schwachstellen ermöglichen es Angreifern, bösartigen Code auf einem Zielsystem auszuführen, was zu schweren Sicherheitsverletzungen führen kann.
Details ausnutzen
Medienberichte Laut Bryan Smith von Redline Cyber Security kann ein lokaler Angreifer über diese Schwachstelle Root-Zugriff auf das System erlangen, indem er den Software-Update-Prozess mit einem bösartigen RPM-Paket von einer entfernten URL ausnutzt.
Das Problem entsteht durch eine unzureichende Validierung im Installationsbefehl der EPMM-Befehlszeilenschnittstelle, die ein beliebiges RPM-Paket von einer vom Benutzer angegebenen URL abrufen kann, ohne dessen Authentizität zu überprüfen.
CVE-2024-22026 betrifft alle Versionen von EPMM vor 12.1.0.0. Darüber hinaus hat Ivanti zwei weitere SQL-Injection-Schwachstellen im selben Produkt gepatcht, die als CVE-2023-46806 und CVE-2023-46807 identifiziert wurden und beide einen CVSS-Score von 6,7 aufweisen. Diese Schwachstellen könnten es einem authentifizierten Benutzer mit den entsprechenden Berechtigungen ermöglichen, auf Daten in der zugrunde liegenden Datenbank zuzugreifen oder diese zu ändern.
Zwar gibt es derzeit keine Hinweise auf eine Ausnutzung dieser CISA D-Link-Router-Schwachstellengibt, wird Anwendern dringend empfohlen, auf die neueste Version zu aktualisieren, um potenzielle Bedrohungen abzuschwächen.
Bewährte Router-Sicherheitspraktiken
Diese Entwicklungen unterstreichen die entscheidende Bedeutung regelmäßiger Aktualisierungen der Bedrohungsdaten, Patch-Verwaltung, und aufmerksamer Sicherheitspraktiken. Unternehmen, die betroffene D-Link-Router verwenden, sollten vorrangig veraltete Geräte austauschen und alle empfohlenen Router-Sicherheits-Patches. Für diejenigen, die Ivanti EPMM verwenden, sind sofortige Updates auf die neuesten Versionen unerlässlich, um sich vor der Ausnutzung dieser Schwachstellen zu schützen. CISA D-Link-Router-Schwachstellen.
Strategien zur Netzwerkverteidigung
Gewährleistung einer robusten Sicherheit im Internet der Dinge (IoT) ist von entscheidender Bedeutung, da immer mehr Geräte miteinander vernetzt und in den täglichen Betrieb integriert werden. Die Verwendung automatisierter Patching-Lösungen wird sichergestellt, dass Ihre Systeme mit den neuesten Sicherheits-Patches auf dem neuesten Stand bleiben und Ihr Unternehmen konform und sicher bleibt.
Schlussfolgerung
Die jüngste CISA-Warnung unterstreicht die Notwendigkeit eines erhöhten Bewusstseins und sofortigen Handelns bei der Behebung von Sicherheitsschwachstellen in Netzwerkgeräten. Unternehmen sollten umgehend alle End-of-Life (EOL) Router ersetzen ersetzen, um sicherzustellen, dass sie nicht durch ungepatchte Sicherheitslücken gefährdet sind. Indem sie informiert bleiben und proaktiv handeln, können Unternehmen ihre Systeme schützen und die Geschäftskontinuität gewährleisten.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Sicherheitsangelegenheiten.