CISA Alerta Sobre Vulnerabilidades Ativamente Exploradas em Roteadores D-Link – Instale Agora

A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) acrescentou duas falhas de segurança que afetam os roteadores D-Link ao seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), com base em evidências de exploração ativa.

As vulnerabilidades listadas são as seguintes:
– CVE-2014-100005 – Uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) que afeta os roteadores D-Link DIR-600 e permite que um atacante altere as configurações do roteador ao se apossar de uma sessão de administrador existente.
– CVE-2021-40655 – Uma vulnerabilidade de divulgação de informações que afeta os roteadores D-Link DIR-605 e permite que os atacantes obtenham um nome de usuário e senha ao forjar uma solicitação POST HTTP para a página /getcfg.php.

Atualmente não há detalhes sobre como essas falhas estão sendo exploradas, mas as agências federais foram instadas a aplicar as mitigações fornecidas pelo fornecedor até 6 de junho de 2024.

Vale ressaltar que a CVE-2014-100005 afeta produtos antigos da D-Link que chegaram ao final de sua vida útil (EoL), o que exige que as organizações que ainda os utilizam os aposentem e substituam os dispositivos.

Além disso, a equipe de Divulgação Segura da SSD revelou questões de segurança não corrigidas nos roteadores DIR-X4860, que poderiam permitir que atacantes remotos não autenticados acessem a porta HNAP para obter permissões elevadas e executar comandos como root.

A D-Link reconheceu o problema em um boletim próprio, afirmando que uma correção está “Pendente de Lançamento / Em Desenvolvimento”, descrevendo a vulnerabilidade como um caso de falha de execução de comando sem autenticação do lado da LAN.

Além disso, pesquisadores de segurança cibernética divulgaram um exploit de prova de conceito para uma nova vulnerabilidade no Ivanti EPMM (CVE-2024-22026, pontuação CVSS: 6,7) que poderia permitir a um usuário local autenticado ignorar a restrição de shell e executar comandos arbitrários no appliance.

A falha decorre de uma falta de validação na interface de linha de comando EPMM, que pode buscar um pacote RPM arbitrário de uma URL fornecida pelo usuário sem verificar sua autenticidade. A CVE-2024-22026 afeta todas as versões do EPMM antes da 12.1.0.0.

Além disso, dois outros problemas de injeção de SQL no mesmo produto (CVE-2023-46806 e CVE-2023-46807, pontuações CVSS: 6,7) foram corrigidos pela Ivanti, que poderiam permitir a um usuário autenticado com privilégio apropriado acessar ou modificar dados no banco de dados subjacente.

Não há evidências de que essas falhas tenham sido exploradas, mas os usuários são aconselhados a atualizar para a versão mais recente para mitigar possíveis ameaças.