D-Link ผู้จำหน่ายโซลูชั่นเน็ตเวิร์กสัญชาติไต้หวัน ได้แก้ไขช่องโหว่ร้ายแรง 2 รายการในผลิตภัณฑ์ชุดจัดการเครือข่าย D-View 8 ที่เปิดให้ผู้โจมตีจากระยะไกลข้ามขั้นตอนการยืนยันตน (bypass) และรันโค้ดอันตรายได้
ผลิตภัณฑ์ D-View นี้ได้รับความนิยมในองค์กรทุกขนาด สำหรับใช้ตรวจสอบประสิทธิภาพ ควบคุมการตั้งค่าอุปกรณ์ สร้างแผนผังเครือข่าย และยกระดับการจัดการและดูแลเครือข่ายให้มีประสิทธิภาพมากขึ้น ประหยัดเวลาได้มากขึ้น
ครั้งนี้ นักวิจัยด้านความปลอดภัยจากโครงการ Zero Day Initiative (ZDI) ของเทรนด์ไมโคร ได้ค้นพบ 6 ช่องโหว่บน D-View ตั้งแต่ปลายปีที่แล้ว มีการรายงานไปยัง D-Link ตั้งแต่วันที่ 23 ธันวาคม 2022 ซึ่งมีสองช่องโหว่ที่ได้คะแนนความร้ายแรงระดับวิกฤติที่ 9.8 ตามสเกล CVSS
ได้แก่ CVE-2023-32165 ที่เป็นช่องโหว่ที่เปิดให้รันโค้ดได้จากระยะไกล มาจากการตรวจสอบพาธที่ป้อนเข้ามาตอนจัดการเกี่ยวกับไฟล์ได้ไม่ดีเพียงพอ ทำให้ผู้โจมตีเอามาใช้รันโค้ดอันตรายด้วยสิทธิ์สูงสุดบนวินโดวส์อย่าง SYSTEM ที่เท่ากับโดนควบคุมเครื่องโดยสิ้นเชิง อีกช่องโหว่เป็นการบายพาสการยืนยันตัวตน CVE-2023-32169
อ่านเพิ่มเติมที่นี่ – BCP
ที่มา – D-Link แก้ไขช่องโหว่ RCE และปัญหาเรื่องการบายพาสยืนยันตนในซอฟต์แวร์ D-View 8 – Enterprise IT Pro