Egy fenyegetéskutató egy új, tetszőleges parancsinjekciós és hard coded backdoor hibát hozott nyilvánosságra a D-Link Network Attached Storage (NAS) több, lejárt támogatottságú (EoL) eszközmodelljében.
A hibát felfedező kutató, Netsecfish elmagyarázza, hogy a probléma a /cgi-bin/nas_sharing.cgi
szkriptben található, és a HTTP GET Request Handler komponensét érinti.
A CVE-2024-3273 néven nyomon követett hiba két fő oka egyrészt egy hard coded fiókon (felhasználónév: “messagebus” és üres jelszó) keresztüli backdoor, másrészt a “system” paraméteren keresztüli parancsinjekciós probléma. Ha ezeket összekapcsolják, bármely támadó távolról is képes parancsokat végrehajtani az eszközön.
A sebezhetőség sikeres kihasználása lehetővé teheti a támadó számára, hogy tetszőleges parancsokat hajtson végre a rendszeren, ami potenciálisan érzékeny információkhoz való jogosulatlan hozzáféréshez, a rendszer konfigurációinak módosításához vagy szolgáltatásmegtagadási állapotokhoz vezethet.
Netsecfish szerint a hálózati vizsgálatok szerint több mint 92000 sebezhető D-Link NAS eszköz elérhető az interneten, és ezeken a hibákon keresztül támadható.
A CVE-2024-3273 által érintett készülékmodellek a következők:
- DNS-320L 1.11-es verzió, 1.03.0904.2013-as verzió, 1.01.0702.2013-as verzió
- DNS-325 1.01-es verzió
- DNS-327L 1.09-es verzió, 1.00.0409.2013-as verzió
- DNS-340L 1.08 verzió
A gyártó közleménye szerint ezek a NAS eszközök elérték az életciklus végét (EoL), és már nem támogatják őket.
A gyártó biztonsági közleményt tett közzé, amelyben felhívja a figyelmet a hibára és arra, hogy azonnal vonják ki vagy cseréljék le ezeket az eszközöket.
A D-Link létrehozott egy külön támogatási oldalt a régebbi készülékek számára, ahol a tulajdonosok archívumokban navigálva megtalálhatják a legújabb biztonsági és firmware-frissítéseket. Azok, akik ragaszkodnak az elavult hardverek használatához, legalább a legújabb elérhető frissítéseket alkalmazzák, még akkor is, ha azok nem kezelik az olyan újonnan felfedezett sérülékenységeket, mint a CVE-2024-3273.