D-Link не будет исправлять критическую уязвимость на 60000 NAS-устройствах

Более 60 000 сетевых устройств хранения данных D-Link, срок эксплуатации которых истек, подвержены уязвимости, связанной с инъекцией команд, для которой существует общедоступный эксплойт.

Дефект, отслеживаемый как CVE-2024-10914, имеет критический балл серьезности 9.2 и присутствует в команде cgi_user_add, где параметр name недостаточно врифицирован.

Злоумышленник может использовать его для внедрения произвольных команд shell, отправляя на устройства специально созданные HTTP GET-запросы.

Дефект затрагивает несколько моделей сетевых устройств хранения данных (NAS) D-Link, которые обычно используются в малом бизнесе или для домашнего использования:

  • DNS-320 Version 1.00
  • DNS-320LW Версия 1.01.0914.2012
  • DNS-325 Версия 1.01, Версия 1.02
  • DNS-340L Версия 1.08

В техническом описании, содержащем детали эксплойта, исследователь безопасности Netsecfish утверждает, что для использования уязвимости требуется отправить «поддельный HTTP GET запрос на NAS-устройство с вредоносным вводом в параметре name».

curl "http://[Target-IP]/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27" 

Этот запрос curl формирует URL, который запускает команду cgi_user_add с параметром name, содержащим внедренную команду shell, поясняет исследователь.

Поиск, проведенный Netsecfish на платформе FOFA, дал 61 147 результатов по 41 097 уникальным IP-адресам для устройств D-Link, уязвимых к CVE-2024-10914.

В сегодняшнем бюллетене безопасности компания D-Link подтвердила, что исправление для CVE-2024-10914 не будет выпущено, и производитель рекомендует пользователям отказаться от использования уязвимых продуктов.

Если устройство необходимо использовать, то пользователям необходимо изолировать их от публичного Интернета.

В апреле 2024 года тот же исследователь обнаружил другую уязвимость устройств D-Link, отслеживаемую как CVE-2024-3273, затрагивающую те же сетевых хранилищ D-Link. При сетевом сканировании было найдено 92589 потенциально проблемных устройств D-Link.

В ответ на ситуацию представитель D-Link сообщил, что сетевая компания больше не производит NAS-устройства, а затронутые продукты достигли уровня EoL и не будут получать обновления безопасности.

Второй раз компания D-Link отказывается от поддержки уже не поддерживаемых NAS, что наводит на печальные выводы для потребителей.

Сударев Александр Эксперт по безопасности, криптовалютам и умным домам

Люблю технологии и криптовалюты. Создаю свой умный дом и делюсь этим с Вами. Знаю как предотвратить хакерскую атаку, так как немного смыслю в безопасности

Похожие статьи

Комментарии (0)