ClickCease CISA Las vulnerabilidades de los routers D-Link están siendo explotadas activamente

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

CISA Las vulnerabilidades de los routers D-Link están siendo explotadas activamente

Wajahat Raja

29 de mayo de 2024 - Equipo de expertos TuxCare

El jueves, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE.UU. añadió dos vulnerabilidades de seguridad que afectan a los routers D-Link a su CISA Vulnerabilidades Explotadas Conocidas (KEV) debido a su explotación activa confirmada. Se insta a las agencias federales a implementar las mitigaciones proporcionadas por los proveedores antes del 6 de junio de 2024 para hacer frente a estas amenazas. En este artículo, descubriremos las vulnerabilidades del router CISA D-Link y las medidas preventivas que se pueden adoptar.

 

Vulnerabilidades identificadas del router CISA D-Link


La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (
CISA) ha destacado recientemente dos CISA vulnerabilidades del router D-Link. Estas vulnerabilidades están siendo explotadas activamente, lo que plantea riesgos significativos para la seguridad de la red.

  1. CVE-2014-100005

Esta vulnerabilidad es una falsificación de petición de sitio cruzado (CSRF) encontrada en los routers DIR-600 de D-Link. Permite a los atacantes cambiar la configuración del router secuestrando una sesión de administrador existente. Este exploit puede ser especialmente peligroso, ya que puede realizarse sin el conocimiento del administrador.

       2. CVE-2021-40655

La segunda vulnerabilidad, CVE-2021-40655, es un fallo de divulgación de información en los routers D-Link DIR-605. Los atacantes pueden aprovechar esta debilidad para obtener información confidencial, como nombres de usuario y contraseñas, falsificando una solicitud HTTP POST a la página /getcfg.php.

Aunque no se detallan los métodos de explotación específicos, es evidente la urgencia de aplicar las mitigaciones necesarias. En particular, CVE-2014-100005 afecta a productos D-Link heredados que ya han llegado al final de su vida útil, por lo que es crucial que las organizaciones que todavía utilicen estos dispositivos los sustituyan por modelos más nuevos y compatibles.

 

Nuevas vulnerabilidades en los routers DIR-X4860


Además de estas conocidas
CISA vulnerabilidades de los routers D-Linkel equipo de SSD Secure Disclosure ha identificado fallos de seguridad sin parchear en los routers D-Link DIR-X4860. Estos fallos permiten a atacantes remotos no autenticados acceder al puerto HNAP, obtener permisos elevados y ejecutar comandos como root.

Combinando un bypass de autenticación con la ejecución de comandos, los atacantes pueden comprometer completamente el dispositivo. Estas vulnerabilidades afectan a los routers que ejecutan la versión de firmware DIRX4860A1_FWV1.04B03. 

SSD Secure Disclosure también ha publicado un exploit de prueba de concepto (PoC) que demuestra cómo una solicitud de inicio de sesión HNAP especialmente diseñada puede eludir las protecciones de autenticación y lograr la ejecución de código a través de una vulnerabilidad de inyección de comandos.

D-Link ha reconocido estos problemas en un boletín, señalando que una solución está actualmente "Pendiente de lanzamiento / En desarrollo". La compañía describe la vulnerabilidad como un fallo de ejecución de comandos no autenticados del lado de la LAN, destacando la necesidad de una resolución oportuna.

 

Fallo de Ivanti Endpoint Manager Mobile (EPMM)


Investigadores de ciberseguridad también han publicado un exploit PoC para una nueva vulnerabilidad en Endpoint Manager Mobile (EPMM) de Ivanti, identificada como CVE-2024-22026, con una puntuación CVSS de 6,7. Este fallo permite a un usuario local autenticado saltarse las restricciones del shell y ejecutar comandos arbitrarios en el dispositivo.
Ejecución remota de código (RCE) permiten a los atacantes ejecutar código malicioso en un sistema objetivo, lo que puede dar lugar a graves brechas de seguridad.


Detalles del exploit

Los medios de comunicación afirman que, según Bryan Smith, de Redline Cyber Security, esta vulnerabilidad permite a un atacante local obtener acceso root al sistema aprovechando el proceso de actualización de software con un paquete RPM malicioso desde una URL remota.

El problema surge de una validación inadecuada en el comando de instalación de la interfaz de línea de comandos de EPMM, que puede recuperar un paquete RPM arbitrario de una URL proporcionada por el usuario sin verificar su autenticidad.

CVE-2024-22026 afecta a todas las versiones de EPMM anteriores a la 12.1.0.0. Además, Ivanti ha parcheado otros dos fallos de inyección SQL en el mismo producto, identificados como CVE-2023-46806 y CVE-2023-46807, ambos con puntuaciones CVSS de 6,7. Estas vulnerabilidades podrían permitir a un usuario autenticado con los privilegios adecuados acceder a los datos de la base de datos subyacente o modificarlos.

Aunque no hay pruebas actuales de la explotación de estas vulnerabilidades del router CISA D-Linkse recomienda encarecidamente a los usuarios que actualicen a la última versión para mitigar las posibles amenazas.

 

Buenas prácticas de seguridad para routers


Estos acontecimientos ponen de relieve la importancia crítica de
actualizaciones de inteligencia sobre amenazas, gestión de parches, y prácticas de seguridad vigilantes. Las organizaciones que utilicen routers D-Link afectados deben dar prioridad a la sustitución de los dispositivos obsoletos y a la aplicación de todos los parches de seguridad recomendados para los routers D-Link. parches de seguridad recomendados. Para aquellos que utilizan Ivanti EPMM, las actualizaciones inmediatas a las últimas versiones son esenciales para protegerse contra la explotación de estas vulnerabilidades del router CISA D-Link. CISA vulnerabilidades de los routers D-Link.


Estrategias de defensa de la red


Garantizar una seguridad
seguridad del Internet de las cosas (IoT) es crucial a medida que más dispositivos se interconectan e integran en las operaciones diarias. El uso de soluciones automatizadas garantiza que sus sistemas se mantengan actualizados con los últimos parches de seguridad, manteniendo su negocio conforme a la normativa y seguro.


Conclusión


La reciente alerta de CISA subraya la necesidad de una mayor concienciación y una acción rápida para abordar las vulnerabilidades de seguridad en los dispositivos de red. Las organizaciones deben sustituir rápidamente cualquier
routers al final de su vida útil (EOL) para asegurarse de que no están expuestos a vulnerabilidades de seguridad sin parchear. Manteniéndose informadas y proactivas, las organizaciones pueden proteger sus sistemas y garantizar la continuidad de sus actividades.

Las fuentes de este artículo incluyen artículos en The Hacker News y Asuntos de seguridad.

Resumen
CISA Las vulnerabilidades de los routers D-Link están siendo explotadas activamente
Nombre del artículo
CISA Las vulnerabilidades de los routers D-Link están siendo explotadas activamente
Descripción
Obtenga información sobre la última alerta de vulnerabilidades del router CISA D-Link y cómo proteger su red de los exploits activos. Garantice la seguridad hoy mismo.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín