CISA Las vulnerabilidades de los routers D-Link están siendo explotadas activamente
El jueves, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) de EE.UU. añadió dos vulnerabilidades de seguridad que afectan a los routers D-Link a su CISA Vulnerabilidades Explotadas Conocidas (KEV) debido a su explotación activa confirmada. Se insta a las agencias federales a implementar las mitigaciones proporcionadas por los proveedores antes del 6 de junio de 2024 para hacer frente a estas amenazas. En este artículo, descubriremos las vulnerabilidades del router CISA D-Link y las medidas preventivas que se pueden adoptar.
Vulnerabilidades identificadas del router CISA D-Link
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE.UU. (CISA) ha destacado recientemente dos CISA vulnerabilidades del router D-Link. Estas vulnerabilidades están siendo explotadas activamente, lo que plantea riesgos significativos para la seguridad de la red.
- CVE-2014-100005
Esta vulnerabilidad es una falsificación de petición de sitio cruzado (CSRF) encontrada en los routers DIR-600 de D-Link. Permite a los atacantes cambiar la configuración del router secuestrando una sesión de administrador existente. Este exploit puede ser especialmente peligroso, ya que puede realizarse sin el conocimiento del administrador.
2. CVE-2021-40655
La segunda vulnerabilidad, CVE-2021-40655, es un fallo de divulgación de información en los routers D-Link DIR-605. Los atacantes pueden aprovechar esta debilidad para obtener información confidencial, como nombres de usuario y contraseñas, falsificando una solicitud HTTP POST a la página /getcfg.php.
Aunque no se detallan los métodos de explotación específicos, es evidente la urgencia de aplicar las mitigaciones necesarias. En particular, CVE-2014-100005 afecta a productos D-Link heredados que ya han llegado al final de su vida útil, por lo que es crucial que las organizaciones que todavía utilicen estos dispositivos los sustituyan por modelos más nuevos y compatibles.
Nuevas vulnerabilidades en los routers DIR-X4860
Además de estas conocidas CISA vulnerabilidades de los routers D-Linkel equipo de SSD Secure Disclosure ha identificado fallos de seguridad sin parchear en los routers D-Link DIR-X4860. Estos fallos permiten a atacantes remotos no autenticados acceder al puerto HNAP, obtener permisos elevados y ejecutar comandos como root.
Combinando un bypass de autenticación con la ejecución de comandos, los atacantes pueden comprometer completamente el dispositivo. Estas vulnerabilidades afectan a los routers que ejecutan la versión de firmware DIRX4860A1_FWV1.04B03.
SSD Secure Disclosure también ha publicado un exploit de prueba de concepto (PoC) que demuestra cómo una solicitud de inicio de sesión HNAP especialmente diseñada puede eludir las protecciones de autenticación y lograr la ejecución de código a través de una vulnerabilidad de inyección de comandos.
D-Link ha reconocido estos problemas en un boletín, señalando que una solución está actualmente "Pendiente de lanzamiento / En desarrollo". La compañía describe la vulnerabilidad como un fallo de ejecución de comandos no autenticados del lado de la LAN, destacando la necesidad de una resolución oportuna.
Fallo de Ivanti Endpoint Manager Mobile (EPMM)
Investigadores de ciberseguridad también han publicado un exploit PoC para una nueva vulnerabilidad en Endpoint Manager Mobile (EPMM) de Ivanti, identificada como CVE-2024-22026, con una puntuación CVSS de 6,7. Este fallo permite a un usuario local autenticado saltarse las restricciones del shell y ejecutar comandos arbitrarios en el dispositivo. Ejecución remota de código (RCE) permiten a los atacantes ejecutar código malicioso en un sistema objetivo, lo que puede dar lugar a graves brechas de seguridad.
Detalles del exploit
Los medios de comunicación afirman que, según Bryan Smith, de Redline Cyber Security, esta vulnerabilidad permite a un atacante local obtener acceso root al sistema aprovechando el proceso de actualización de software con un paquete RPM malicioso desde una URL remota.
El problema surge de una validación inadecuada en el comando de instalación de la interfaz de línea de comandos de EPMM, que puede recuperar un paquete RPM arbitrario de una URL proporcionada por el usuario sin verificar su autenticidad.
CVE-2024-22026 afecta a todas las versiones de EPMM anteriores a la 12.1.0.0. Además, Ivanti ha parcheado otros dos fallos de inyección SQL en el mismo producto, identificados como CVE-2023-46806 y CVE-2023-46807, ambos con puntuaciones CVSS de 6,7. Estas vulnerabilidades podrían permitir a un usuario autenticado con los privilegios adecuados acceder a los datos de la base de datos subyacente o modificarlos.
Aunque no hay pruebas actuales de la explotación de estas vulnerabilidades del router CISA D-Linkse recomienda encarecidamente a los usuarios que actualicen a la última versión para mitigar las posibles amenazas.
Buenas prácticas de seguridad para routers
Estos acontecimientos ponen de relieve la importancia crítica de actualizaciones de inteligencia sobre amenazas, gestión de parches, y prácticas de seguridad vigilantes. Las organizaciones que utilicen routers D-Link afectados deben dar prioridad a la sustitución de los dispositivos obsoletos y a la aplicación de todos los parches de seguridad recomendados para los routers D-Link. parches de seguridad recomendados. Para aquellos que utilizan Ivanti EPMM, las actualizaciones inmediatas a las últimas versiones son esenciales para protegerse contra la explotación de estas vulnerabilidades del router CISA D-Link. CISA vulnerabilidades de los routers D-Link.
Estrategias de defensa de la red
Garantizar una seguridad seguridad del Internet de las cosas (IoT) es crucial a medida que más dispositivos se interconectan e integran en las operaciones diarias. El uso de soluciones automatizadas garantiza que sus sistemas se mantengan actualizados con los últimos parches de seguridad, manteniendo su negocio conforme a la normativa y seguro.
Conclusión
La reciente alerta de CISA subraya la necesidad de una mayor concienciación y una acción rápida para abordar las vulnerabilidades de seguridad en los dispositivos de red. Las organizaciones deben sustituir rápidamente cualquier routers al final de su vida útil (EOL) para asegurarse de que no están expuestos a vulnerabilidades de seguridad sin parchear. Manteniéndose informadas y proactivas, las organizaciones pueden proteger sus sistemas y garantizar la continuidad de sus actividades.
Las fuentes de este artículo incluyen artículos en The Hacker News y Asuntos de seguridad.