D-Link a corrigé deux vulnérabilités de gravité critique dans sa suite de gestion de réseau D-View 8 qui pourraient permettre à des attaquants distants de contourner l’authentification et d’exécuter du code arbitraire.

D-View est une suite de gestion de réseau développée par le fournisseur taïwanais de solutions de réseau D-Link, utilisée par les entreprises de toutes tailles pour surveiller les performances, contrôler les configurations des appareils, créer des cartes réseau et, de manière générale, rendre la gestion et l’administration du réseau plus efficaces et moins chronophages. consommant.

Les chercheurs en sécurité participant à la Zero Day Initiative (ZDI) de Trend Micro ont découvert six failles affectant D-View à la fin de l’année dernière et les ont signalées au fournisseur le 23 décembre 2022.

Deux des vulnérabilités découvertes sont de gravité critique (score CVSS : 9,8) et donnent aux attaquants non authentifiés un fort effet de levier sur les installations affectées.

La première faille est identifiée comme CVE-2023-32165 et est une faille d’exécution de code à distance résultant de l’absence de validation appropriée d’un chemin fourni par l’utilisateur avant de l’utiliser dans les opérations sur les fichiers.

Un attaquant tirant parti de la vulnérabilité pourrait exécuter du code avec les privilèges SYSTEM, qui pour Windows, le code s’exécutera avec les privilèges les plus élevés, permettant potentiellement une prise de contrôle complète du système.

La deuxième faille critique a reçu l’identifiant CVE-2023-32169 et est un problème de contournement d’authentification résultant de l’utilisation d’une clé cryptographique codée en dur sur la classe TokenUtils du logiciel.

L’exploitation de cette faille permet l’élévation des privilèges, l’accès non autorisé aux informations, la modification de la configuration et des paramètres du logiciel, et même l’installation de portes dérobées et de logiciels malveillants.

D-Link a publié un avis sur les six failles signalées par le ZDI, qui affectent D-View 8 version 2.0.1.27 et inférieure, exhortant les administrateurs à passer à la version corrigée, 2.0.1.28, publiée le 17 mai 2023.

« Dès que D-Link a été informé des problèmes de sécurité signalés, nous avons rapidement lancé notre enquête et commencé à développer des correctifs de sécurité », lit-on dans le bulletin de sécurité de D-Link.

Bien que le fournisseur « recommande fortement » à tous les utilisateurs d’installer la mise à jour de sécurité, l’annonce avertit également que le correctif est « un logiciel bêta ou une version de correctif », toujours en cours de test final.

Cela signifie que la mise à niveau vers 2.0.1.28 peut causer des problèmes ou introduire une instabilité dans D-View, mais la gravité des défauts l’emporte probablement sur les problèmes de performances potentiels.

La société conseille également aux utilisateurs de vérifier la révision matérielle de leurs produits en vérifiant sur l’étiquette inférieure ou le panneau de configuration Web avant de télécharger la mise à jour du micrologiciel correspondante.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *