Более 60 000 сетевых устройств хранения данных D-Link, срок эксплуатации которых истек, подвержены уязвимости, связанной с инъекцией команд, для которой существует общедоступный эксплойт.
Дефект, отслеживаемый как CVE-2024-10914, имеет критический балл серьезности 9.2 и присутствует в команде cgi_user_add
, где параметр name недостаточно врифицирован.
Злоумышленник может использовать его для внедрения произвольных команд shell
, отправляя на устройства специально созданные HTTP GET-запросы.
Дефект затрагивает несколько моделей сетевых устройств хранения данных (NAS) D-Link, которые обычно используются в малом бизнесе или для домашнего использования:
- DNS-320 Version 1.00
- DNS-320LW Версия 1.01.0914.2012
- DNS-325 Версия 1.01, Версия 1.02
- DNS-340L Версия 1.08
В техническом описании, содержащем детали эксплойта, исследователь безопасности Netsecfish утверждает, что для использования уязвимости требуется отправить «поддельный HTTP GET запрос на NAS-устройство с вредоносным вводом в параметре name».
curl "http://[Target-IP]/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27"
Этот запрос curl формирует URL, который запускает команду cgi_user_add с параметром name, содержащим внедренную команду shell, поясняет исследователь.
Поиск, проведенный Netsecfish на платформе FOFA, дал 61 147 результатов по 41 097 уникальным IP-адресам для устройств D-Link, уязвимых к CVE-2024-10914.
В сегодняшнем бюллетене безопасности компания D-Link подтвердила, что исправление для CVE-2024-10914 не будет выпущено, и производитель рекомендует пользователям отказаться от использования уязвимых продуктов.
Если устройство необходимо использовать, то пользователям необходимо изолировать их от публичного Интернета.
В апреле 2024 года тот же исследователь обнаружил другую уязвимость устройств D-Link, отслеживаемую как CVE-2024-3273, затрагивающую те же сетевых хранилищ D-Link. При сетевом сканировании было найдено 92589 потенциально проблемных устройств D-Link.
В ответ на ситуацию представитель D-Link сообщил, что сетевая компания больше не производит NAS-устройства, а затронутые продукты достигли уровня EoL и не будут получать обновления безопасности.
Второй раз компания D-Link отказывается от поддержки уже не поддерживаемых NAS, что наводит на печальные выводы для потребителей.
Комментарии (0)