D-Link a publié des correctifs pour deux vulnérabilités critiques trouvées dans sa suite de gestion de réseau qui pourraient permettre aux pirates de contourner l’authentification et d’exécuter du code arbitraire à distance.
La société a corrigé deux failles trouvées dans D-View, sa suite de gestion de réseau utilisée par diverses entreprises pour la gestion et l’administration générales du réseau.
Les failles ont été découvertes à la fin de l’année dernière par des chercheurs en sécurité participant à la Zero Day Initiative (ZDI) de Trend Micro. Au cours de l’événement, les chercheurs ont découvert plusieurs vulnérabilités, dont deux se démarquent : CVE-2023-32165 et CVE-2023-32169. Le premier est une faille d’exécution de code à distance, qui pourrait être utilisée pour exécuter du code malveillant avec les privilèges SYSTEM. Ce dernier, en revanche, est une vulnérabilité de contournement d’authentification qui permet l’élévation des privilèges, l’accès non autorisé aux informations et, dans certains cas, l’installation de logiciels malveillants.
Correctif bêta
Les deux défauts portent un score de gravité de 9,8 (critique). Le problème concerne D-View 8 version 2.9.1.27 et versions antérieures. D-Link a publié le correctif il y a environ deux semaines et exhorte maintenant les utilisateurs à l’appliquer dès que possible.
« Dès que D-Link a été informé des problèmes de sécurité signalés, nous avons rapidement lancé notre enquête et commencé à développer des correctifs de sécurité », a déclaré la société dans un avis de sécurité. Le fournisseur a également averti les utilisateurs que le correctif est en fait un « logiciel bêta ou une version de correctif », ce qui signifie que des modifications supplémentaires pourraient se produire à l’avenir. Cela signifie également que D-View peut être instable ou planter après l’introduction du correctif.
Le fournisseur a également demandé aux utilisateurs de vérifier la révision matérielle de leurs points de terminaison, en inspectant l’étiquette inférieure ou le panneau de configuration Web, afin qu’ils ne téléchargent pas la mauvaise mise à jour du micrologiciel.
La liste complète des vulnérabilités découvertes est la suivante :
- ZDI-CAN-19496 : D-Link D-View TftpSendFileThread Directory Traversal Information Divulgation Vulnerability
- ZDI-CAN-19497 : D-Link D-View TftpReceiveFileHandler Directory Traversal Remote Code Execution Vulnerability
- ZDI-CAN-19527 : D-Link D-View uploadFile Directory Traversal Arbitrary File Creation Vulnerability
- ZDI-CAN-19529 : Vulnérabilité de création ou de suppression arbitraire de fichiers dans D-Link D-View uploadMib Directory Traversal
- ZDI-CAN-19534 : D-Link D-View showUser Incorrect Authorization Privilege Escalation ZDI-CAN-19659 : D-Link D-View Use of Hard-coded Cryptographic Key Authentication Bypass Vulnerability
Via : BleepingComputer