ISGroup Consultoría de Ciberseguridad

Inyección de Comandos Crítica en los Routers D-Link DIR820LA1

Publicada el 16 de marzo de 2023, la vulnerabilidad CVE-2023-2528 es una inyección de comandos crítica descubierta en el firmware versión FW105B03 del router D-Link DIR820LA1. Esta vulnerabilidad permite a atacantes no autenticados ejecutar comandos arbitrarios con privilegios elevados. Los atacantes pueden crear entradas maliciosas para inyectar comandos en el sistema operativo del router, obteniendo potencialmente el control completo del dispositivo. La vulnerabilidad está siendo explotada activamente en entornos reales, lo que representa un riesgo significativo para los sistemas afectados, los cuales podrían sufrir compromisos de red, robo de datos o ataques adicionales a los recursos internos de la red.

ProductoD-Link
Fecha2024-10-02 13:59:22
Información
  • Solución disponible
  • Explotación activa

Resumen técnico

Se ha identificado una vulnerabilidad crítica de inyección de comandos en el sistema operativo del router D-Link DIR-820LA1_FW105B03. Esta vulnerabilidad permite a los atacantes elevar privilegios hasta root aprovechando un payload creado específicamente que apunta al parámetro ping_addr. La inyección de comandos reside en la función pingV4Msg del componente /ping.ccp, lo que crea un riesgo serio para los dispositivos conectados a Internet. La función vulnerable, ubicada en el directorio /sbin/ncc2, recupera el contenido de la variable ping_addr de las solicitudes a /ping.ccp, ofreciendo una vía para la ejecución de comandos.

A pesar de los intentos de filtrar la entrada maliciosa, la función no filtra adecuadamente determinados símbolos, como %0a y $, permitiendo a los atacantes eludir las defensas. Esta vulnerabilidad está siendo explotada activamente en entornos reales, por lo que es crucial tomar medidas inmediatas para proteger los sistemas afectados contra posibles compromisos de red, robo de datos o ataques adicionales a los recursos internos.

Recomendaciones

  • Actualización del firmware: los usuarios deben verificar inmediatamente la versión del firmware de su router y actualizar a una versión corregida para mitigar el riesgo asociado a esta vulnerabilidad.

  • Filtrado de entradas: implementar medidas de seguridad adicionales, como una validación rigurosa de las entradas, para prevenir intentos de inyección de comandos.

[Callforaction-THREAT-Footer]

In