Publiée le 16 mars 2023, la vulnérabilité CVE-2023-2528 est une injection de commandes critique découverte dans le firmware version FW105B03 du routeur D-Link DIR820LA1. Cette vulnérabilité permet à des attaquants non authentifiés d’exécuter des commandes arbitraires avec des privilèges élevés. Les attaquants peuvent créer des entrées malveillantes pour injecter des commandes dans le système d’exploitation du routeur, obtenant potentiellement le contrôle complet de l’appareil. La vulnérabilité est activement exploitée dans des environnements réels, représentant un risque significatif pour les systèmes concernés, qui pourraient subir des compromissions de réseau, des vols de données ou des attaques supplémentaires sur les ressources internes du réseau.
| Produit | D-Link |
| Date | 02-10-2024 13:59:22 |
| Informations |
|
Résumé technique
Une vulnérabilité critique d’injection de commandes dans le système d’exploitation a été identifiée dans le routeur D-Link DIR-820LA1_FW105B03. Cette vulnérabilité permet aux attaquants d’élever leurs privilèges jusqu’au niveau root en exploitant une charge utile (payload) créée sur mesure qui cible le paramètre ping_addr. L’injection de commandes réside dans la fonction pingV4Msg du composant /ping.ccp, créant un risque sérieux pour les appareils connectés à Internet. La fonction vulnérable, située dans le répertoire /sbin/ncc2, récupère le contenu de la variable ping_addr à partir des requêtes adressées à /ping.ccp, offrant ainsi une voie pour l’exécution de commandes.
Malgré les tentatives de filtrage des entrées malveillantes, la fonction ne filtre pas adéquatement certains symboles, tels que %0a et $, permettant aux attaquants de contourner les défenses. Cette vulnérabilité est activement exploitée dans des environnements réels, rendant une action immédiate cruciale pour protéger les systèmes concernés contre d’éventuelles compromissions de réseau, vols de données ou attaques supplémentaires sur les ressources internes.
Recommandations
Mise à jour du firmware : les utilisateurs doivent vérifier immédiatement la version du firmware de leur routeur et effectuer une mise à jour vers une version corrigée afin d’atténuer le risque associé à cette vulnérabilité.
Filtrage des entrées : mettre en œuvre des mesures de sécurité supplémentaires, telles qu’une validation rigoureuse des entrées, pour prévenir les tentatives d’injection de commandes.
[Callforaction-THREAT-Footer]
Leave a Reply