Μία σοβαρή ευπάθεια remote code execution σε μια σειρά D-Link server, αποκαλύφθηκε δημόσια από ερευνητές ασφαλείας την περασμένη εβδομάδα.
Τα εργαστήρια FortiGuard Labs της Fortinet, ανέφεραν ότι η ευπάθεια, που είναι στην ουσία η ρίζα του προβλήματος και αναγνωρίστηκε ως CVE-2019-16920, ανακαλύφθηκε τον Σεπτέμβριο του 2019.
Σύμφωνα με τον ερευνητή της Fortinet, Thanh Nguyen Nguyen, η ευπάθεια unauthenticated command injection, επηρεάζει το firmware της D-Link στα προϊόντα DIR-655, DIR-866L, DIR-652 και DHP-1565.
Η ευπάθεια περιγράφεται ως RCE που ωθείτε από τους εισβολείς, στέλνοντας αυθαίρετες εισροές σε ένα “PingTest” gateway interface, το οποίο οδηγεί με τη σειρά του σε command injection και επηρεάζει πλήρως το σύστημα. Το σφάλμα έχει βαθμολογηθεί ως CVSS v3.1 9,8 και ως CVSS v2.0 10,0.
Σύμφωνα με τη Fortinet, οι επιτιθέμενοι μπορούν να εκτελέσουν απομακρυσμένη λειτουργία σύνδεσης, η οποία δεν πιστοποιείται επαρκώς, προκειμένου να ενεργοποιήσουν την ευπάθεια.
Ο κακός έλεγχος επαλήθευσης ταυτότητας επιτρέπει στον κώδικα να εκτελεστεί, είτε ο χρήστης έχει το δικαίωμα να το κάνει είτε όχι, για να αποσταλεί αίτημα POST HTTP μέσω PingTest και έτσι οι εισβολείς μπορούν είτε να αρπάξουν τα διαπιστευτήρια διαχειριστή είτε να εγκαταστήσουν ένα backdoor.
Στις 22 Σεπτεμβρίου, οι ερευνητές ασφαλείας προχώρησαν σε αποκάλυψη των ευρημάτων τους σχετικά με την ευπάθεια στους D-Link server.
Δεδομένης της ηλικίας αυτών των server, δεν προκαλεί έκπληξη το γεγονός ότι η D-Link επέλεξε να μην εκδώσει μια επιδιόρθωση για την ευπάθεια. Τόσο οι συσκευές όσο και το firmware τους έχουν ημερομηνία λήξης και η υποστήριξη γι’ αυτές κάποτε τελειώνει. Συνεπώς οι χρήστες αυτών των server θα πρέπει να εξετάσουν το ενδεχόμενο αντικατάστασής τους, για να περιορίσουν τον κίνδυνο επίθεσης σε αυτούς.
