เมนู

D-Link พบช่องโหว่ในซอฟต์แวร์ D-View version 8
ส่วนของ auth bypass และ RCE

Cyber Intelligence 2023 (Korn) r.1

จัดอยู่ในระดับวิกฤต 2 รายการ กระทบใน Version
ที่ต่ำกว่า V2.0.1.27

26 พฤษภาคม 2566

D-Link ได้ประกาศแก้ไขช่องโหว่ในระดับวิกฤต 2 รายการในเรื่องการจัดการเครือข่าย Software D-View 8 ส่งผลกระทบให้ผู้โจมตีทำการโจมตีจากระยะไกลและสามารถเข้าถึงเครือข่ายโดยไม่ต้องได้รับการตรวจสอบสิทธิ์

Software D-View เป็นเครื่องมือการจัดการเครือข่ายที่พัฒนาโดย D-Link เพื่อใช้ในการตรวจสอบประสิทธิภาพ ควบคุมกำหนดค่าอุปกรณ์ สร้างเครือข่าย และเป็นศูนย์กลางการจัดการเครือข่ายให้มีประสิทธิภาพ

ช่องโหว่ที่เกิดขึ้นได้รายงานโดยนักวิจัยด้านความปลอดภัยของ Trend Micro Zero Day Initiative (ZDI) ซึ่งพบข้อบกพร่องจำนวน 6 รายการที่ส่งผลกระทบต่อ Software D-View และได้รายงานข้อบกพร่องดังกล่าวไปเมื่อวันที่ 23 ธันวาคม 2022 ที่ผ่านมา โดยมีรายการดังต่อไปนี้

  1. ZDI-CAN-19496: D-Link D-View TftpSendFileThread Directory Traversal Information Disclosure Vulnerability
  2. ZDI-CAN-19497: D-Link D-View TftpReceiveFileHandler Directory Traversal Remote Code Execution Vulnerability
  3. ZDI-CAN-19527: D-Link D-View uploadFile Directory Traversal Arbitrary File Creation Vulnerability
  4. ZDI-CAN-19529: D-Link D-View uploadMib Directory Traversal Arbitrary File Creation or Deletion Vulnerability
  5. ZDI-CAN-19534: D-Link D-View showUser Improper Authorization Privilege Escalation Vulnerability
  6. ZDI-CAN-19659: D-Link D-View Use of Hard-coded Cryptographic Key Authentication Bypass Vulnerability

โดยที่ช่องโหว่ที่พบสองรายการจัดอยู่ในระดับความรุนแรงวิกฤต ส่งผลให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิสามารถเข้าถึงเครือข่ายได้

ช่องโหว่แรกติดตามด้วยหมายเลข  CVE-2023-32165 (CVSS:9.8)  เป็นช่องโหว่ให้ผู้โจมตีเรียกใช้โค้ดจากระยะไกลได้ (RCE) โดยเป็นข้อบกพร่องจากการตรวจสอบความถูกต้องของเส้นทางก่อนการเรียกใช้ไฟล์ ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่ดังกล่าวจะรันโค้ดด้วยสิทธิ์ SYSTEM โดยใช้ OS Windows ส่งผลให้ได้รับสิทธิ์สูงสุด

ช่องโหว่ที่สองติดตามด้วยหมายเลข  CVE-2023-32169  และเป็นข้อบกพร่องในการ bypass ตรวจสอบสิทธิการรับรองความถูกต้องซึ่งเป็นผลมาจากการใช้คีย์เข้ารหัสแบบฮาร์ดโค้ดในระดับ TokenUtils ของซอฟต์แวร์ ส่งผลกระทบให้ผู้โจมตีเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต รวมถึงการเปลี่ยนแปลงการตั้งค่าซอฟต์แวร์ แล้วทำการติดตั้ง Blackdoors, Malware

ท้ายสุดแล้ว D-Link แนะนำให้ผู้ใช้งานตรวจสอบการแก้ไขฮาร์ดแวร์ของผลิตภัณฑ์โดยตรวจสอบที่ฉลากผลิตภัณฑ์หรือตรวจสอบได้ที่เว็บไซต์ก่อนที่จะดาวน์โหลดอัพเดตเฟิร์มแวร์ หากแต่ว่าแพตช์นี้เป็น “ซอฟต์แวร์รุ่นเบต้าหรือรุ่นแก้ไขด่วน” ซึ่งยังอยู่ระหว่างการทดสอบขั้นสุดท้าย นั่นหมายความว่าการอัปเกรดเป็น 2.0.1.28 อาจส่งผลทำให้เกิดปัญหาหรือทำให้ D-View ไม่เสถียร ซึ่งต้องรอการประกาศเฟิร์มแวร์เพื่อแก้ไขแพตช์ช่องโหว่ดังกล่าวอย่างเป็นทางการอีกครั้ง

Screenshot 2023-05-31 101054