D-Link parchea fallos de seguridad en routers fuera de ciclo de vida
Los
investigadores de seguridad de Palo Alto Networks, a finales de febrero
encontraron media docena de vulnerabilidades en el router D-Link DIR-865L y las
reportaron al fabricante. Una de ellas es considerada
critica, las otras son severas.
Ahora D-Link ha lanzado una actualización del firmware para solucionar tres de las seis
vulnerabilidades reportadas.
- CVE-2020-13782: Improper Neutralization of Special Elements Used in a Command (Command Injection) - critical-severity score 9.8, not fixed
- CVE-2020-13786: Cross-Site Request Forgery (CSRF) - high-severity score 8.8, fixed
- CVE-2020-13785: Inadequate Encryption Strength - high-severity score 7.5, fixed
- CVE-2020-13784: Predictable seed in pseudo-random number generator - high-severity score 7.5 not fixed
- CVE-2020-13783: Cleartext storage of sensitive information - high-severity score 7.5, fixed
- CVE-2020-13787: Cleartext transmission of sensitive information - high-severity score 7.5, not fixed
El
router D-Link DIR-865L fue lanzado al mercado en 2012 y ya no tiene soporte para
los usuarios de EE.UU. Esto quiere decir que el producto no puede seguir
siendo comprado pero que aun tiene soporte por parte de D-Link. La empresa
remarca que el producto llegó a su ciclo de fin de vida a los clientes estadounidenses a principios de 2016 y les recomendó cambiarlo por un modelo
nuevo que aún tuviera soporte.

D-Link reaccionó sacando una versión beta delfirmware que solo parchea tres de las vulnerabilidades, las cuales podrían permitir a un atacante de fuera de la red local, causar daño: CSRF, cifrado débil y guardar información sensible en texto plano.
Fuente: BC
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!