15 jun. 2020

D-Link parchea fallos de seguridad en routers fuera de ciclo de vida

Los investigadores de seguridad de Palo Alto Networks, a finales de febrero encontraron media docena de vulnerabilidades en el router D-Link DIR-865L y las reportaron al fabricante. Una de ellas es considerada critica, las otras son severas.

Ahora D-Link ha lanzado una actualización del firmware para solucionar tres de las seis vulnerabilidades reportadas.
  1. CVE-2020-13782: Improper Neutralization of Special Elements Used in a Command (Command Injection) - critical-severity score 9.8, not fixed
  2. CVE-2020-13786: Cross-Site Request Forgery (CSRF) - high-severity score 8.8, fixed
  3. CVE-2020-13785: Inadequate Encryption Strength - high-severity score 7.5, fixed
  4. CVE-2020-13784: Predictable seed in pseudo-random number generator - high-severity score 7.5 not fixed
  5. CVE-2020-13783: Cleartext storage of sensitive information - high-severity score 7.5, fixed
  6. CVE-2020-13787: Cleartext transmission of sensitive information - high-severity score 7.5, not fixed
El router D-Link DIR-865L fue lanzado al mercado en 2012 y ya no tiene soporte para los usuarios de EE.UU. Esto quiere decir que el producto no puede seguir siendo comprado pero que aun tiene soporte por parte de D-Link. La empresa remarca que el producto llegó a su ciclo de fin de vida a los clientes estadounidenses a principios de 2016 y les recomendó cambiarlo por un modelo nuevo que aún tuviera soporte.
Los atacantes pueden usar estas vulnerabilidades para ejecutar comandos arbitrarios, robar información sensible, subir malware al router o incluso borrar los datos del mismo. Además de eso, es posible que estos fallos de seguridad puedan afectar a modelos nuevos por que comparten código del firmware.

D-Link reaccionó sacando una versión beta delfirmware que solo parchea tres de las vulnerabilidades, las cuales podrían permitir a un atacante de fuera de la red local, causar daño: CSRF, cifrado débil y guardar información sensible en texto plano.

Fuente: BC

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!