D-Link fixes two critical flaws in D-View 8 network management suite
2023/05/25 SecurityAffairs — D-Link は、D-View 8 における2つの深刻な脆弱性 (CVSS:9.8) を修正した。これらの脆弱性は、悪用に成功した攻撃者に対して、認証なしでリモート・コード実行を許すものである。D-View は、ネットワーク管理スイートであり、パフォーマンの監視やデバイスの設定を行い、効率的にネットワークを管理するためのツールだ。これらの脆弱性は、2022年12月23日に Trend Micro の Zero Day Initiative (ZDI) を通じて、D-Link に報告された。
1つ目の CVE-2023-32165 は、D-View TftpReceiveFileHandler Directory Traversal における RCE の脆弱性だ。
ZDI のアドバイザリでは、「この脆弱性の影響を受ける D-Link D-View のインストレーション上で、リモートの攻撃者に対して、任意のコード実行を許すことになる。この脆弱性は TftpReceiveFileHandler クラス内に存在し、認証なしで悪用できる」と説明されている。
この脆弱性は、ファイル操作で使用するための、ユーザーが提供したパスを、適切に検証していないことに起因する。認証されていない攻撃者は、この脆弱性を悪用して、SYSTEM のコンテキストでコードを実行できる。この脆弱性の報告者は、Andrea Micalizzi (aka rgod) である。
2つ目の CVE-2023-32169 は、TokenUtils クラスでハードコードされた、暗号鍵認証の悪用により引き起こされる、認証バイパスの脆弱性である。この脆弱性の悪用に成功した攻撃者は、ターゲット・システム上で、認証をバイパスできるようになる。
ZDI のアドバイザリでは、「この脆弱性の影響を受ける D-Link D-View のインストール上で、リモート攻撃者による認証バイパスを許すことになる。この脆弱性は、ハードコードされた暗号キーに起因するものであり、TokenUtils クラス内に存在する。この脆弱性を悪用するために、認証は不要である」と説明されている。この脆弱性は、Trend Micro Zero Day Initiative の Piotr Bazydlo (@chudypb) により発見された。
リリースされたパッチについて、D-Link は、「これは、正式リリース前の最終テスト中のデバイスの、ベータ版ソフトウェア/ファームウェア、ホットフィックス・リリースであることに注意してほしい。ベータ版のソフトウェア/ファームウェアや、ホットフィックスは、”現状のまま” で “利用可能” なベースで提供されるものであり、ユーザーは、その使用に関する全てのリスクと責任を負うものとする」と述べている。
更に同社は、「我々は、ベータ版ファームウェアの適合性/使用可能性について、明示/暗示を問わず、いかなる保証も提供しない。ベータ版ファームウェアを使用した結果、いかなる当事者が被った損失についても、その損失が直接的/間接的/特別/結果的なものであるかを問わず、D-Link は一切の責任を負わないものとする」と付け加えている。
2022年12月23日に Trend Micro の Zero Day Initiative (ZDI) を通じて、これらの脆弱性は D-Link に報告されたと記されています。おそらく、Pwn2Own Toronto 2022 の結果を受けてのことだと思いますが、2022/12/12 の「Pwn2Own Toronto 2022:63件のゼロデイが発見され $1M 近い報奨金が支払われた」には、D-Link の名前が見当たりませんでした。よろしければ、D-Link で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.