Изследовател на заплахи е разкрил нов недостатък, свързан с инжектиране на произволна команда и твърдо кодирана задна врата, в няколко модела мрежови устройства за съхранение на данни (NAS) на D-Link, които са в края на жизнения цикъл.
Изследователят, който е открил дефекта, „Netsecfish“, обяснява, че проблемът се крие в скрипта „/cgi-bin/nas_sharing.cgi“ и засяга неговия компонент HTTP GET Request Handler.
Двата основни проблема, допринасящи за дефекта, проследен като CVE-2024-3273, са задна врата, улеснена чрез твърдо кодиран акаунт (потребителско име: „messagebus“ и празна парола), и проблем с инжектиране на команда чрез параметъра „system“.
Когато се свържат заедно, всеки нападател може да изпълнява команди от устройството от разстояние.
Дефектът с инжектирането на команда възниква при добавянето на base64-кодирана команда към параметъра „system“ чрез HTTP GET заявка, която след това се изпълнява.
„Успешното използване на тази уязвимост може да позволи на атакуващия да изпълни произволни команди в системата, което потенциално може да доведе до неоторизиран достъп до чувствителна информация, промяна на системните конфигурации или отказ на услуга“, предупреждава изследователят.
Моделите устройства, засегнати от CVE-2024-3273, са:
- DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
- DNS-325 Version 1.01
- DNS-327L Version 1.09, Version 1.00.0409.2013
- DNS-340L Version 1.08
Netsecfish твърди, че сканирането на мрежата показва, че над 92 000 уязвими NAS устройства на D-Link са изложени онлайн и са податливи на атаки чрез тези недостатъци.
Няма налични кръпки
„Всички тези мрежови устройства за съхранение на данни на D-Link са с изтекъл срок на експлоатация и на обслужване от много години [и] ресурсите, свързани с тези продукти, са прекратили своето развитие и вече не се поддържат“, заяви говорителят на D-Link.
„D-Link препоръчва извеждането на тези продукти от употреба и замяната им с продукти, които получават актуализации на фърмуера.“
Говорителят също така заяви, че засегнатите устройства не разполагат с възможности за автоматично онлайн актуализиране или функции за работа с клиенти, които да доставят известия, както настоящите модели.
Ето защо доставчикът се е ограничил до бюлетина за сигурност, публикуван вчера, за да повиши осведомеността за дефекта и необходимостта от незабавно извеждане от употреба или замяна на тези устройства.
D-Link създаде специална страница за поддръжка за наследените устройства, където собствениците могат да навигират в архивите, за да намерят най-новите актуализации на сигурността и фърмуера.
Тези, които настояват да използват остарял хардуер, трябва поне да приложат най-новите налични актуализации, дори и те да не решават новооткрити проблеми като CVE-2024-3273.
Освен това NAS устройствата никога не трябва да бъдат излагани на интернет, тъй като те често са мишена за кражба на данни или криптиране при атаки с цел откуп.