Notebookcheck Logo

Rozwiązanie D-Link na krytyczną lukę w NAS: Proszę kupić nowy sprzęt

D-Link nie spieszy się z załataniem krytycznej luki w zabezpieczeniach NAS (źródło zdjęcia: D-Link)
D-Link nie spieszy się z załataniem krytycznej luki w zabezpieczeniach NAS (źródło zdjęcia: D-Link)
W kilku urządzeniach NAS firmy D-Link wykryto krytyczną lukę w zabezpieczeniach typu command injection, która stwarza wysokie ryzyko dla bezpieczeństwa ze względu na brak zabezpieczeń uwierzytelniania. D-Link odmówił wydania poprawek bezpieczeństwa dla dotkniętych modeli, które osiągnęły status wycofanych z eksploatacji w 2020 roku, zamiast tego zalecając użytkownikom całkowitą wymianę urządzeń. Eksperci zalecają odizolowanie tych urządzeń od sieci publicznych i wdrożenie ścisłej kontroli dostępu.
Fail NAS Security

Badacz bezpieczeństwa Netsecfish odkrył poważną lukę w zabezpieczeniach dotyczącą wstrzykiwania poleceń w tysiącach starszych urządzeń sieciowej pamięci masowej (NAS) firmy D-Link. Luka, śledzona jako CVE-2024-10914 w National Vulnerability Database (NVD), ma krytyczną ocenę ważności 9.2 i stanowi poważne zagrożenie dla użytkowników, którzy nadal polegają na tych urządzeniach wycofanych z eksploatacji.

Luka znajduje się w funkcji polecenia "cgi_user_add", a konkretnie w parametrze "name", w którym brakuje odpowiedniej sanityzacji danych wejściowych. To, co czyni tę lukę szczególnie niebezpieczną, to fakt, że można ją wykorzystać bez uwierzytelnienia, umożliwiając atakującym wstrzykiwanie dowolnych poleceń powłoki za pośrednictwem spreparowanych żądań HTTP GET.

Poniżej Modele D-Link są dotknięte tym problemem:

  • D-Link DNS-320 w wersji 1.00
  • D-Link DNS-320LW Wersja 1.01.0914.2012
  • D-Link DNS-325 wersje 1.01 i 1.02
  • D-Link DNS-340L Wersja 1.08

Przeprowadzone przez Netsecfish skanowanie FOFA dotkniętych modeli NAS ujawniło 61 147 wyników z 41 097 unikalnymi adresami IP. Chociaż NVD sugeruje, że złożoność ataku jest wysoka, wykwalifikowani atakujący mogą potencjalnie wykorzystać te podatne urządzenia, jeśli zostaną wystawione na publiczny Internet.

Niestety, D-Link oświadczył, że nie wyda poprawki, powołując się na fakt, że wszystkie te modele osiągnęły koniec okresu użytkowania / koniec usługi (EOL / EOS) od 2020 roku. W oświadczeniu D-Link zalecił użytkownikom wycofanie lub wymianę tych urządzeń, ponieważ nie będą dostarczane żadne dalsze aktualizacje oprogramowania ani poprawki bezpieczeństwa.

Eksperci ds. bezpieczeństwa przedstawili kilka środków tymczasowych dla użytkowników, którzy nie mogą natychmiast wymienić swoich urządzeń D-Link NAS. Przede wszystkim zdecydowanie zalecają odizolowanie tych urządzeń od publicznego dostępu do Internetu, aby zminimalizować narażenie na potencjalne ataki. Ponadto, organizacje powinny wdrożyć ścisłe środki kontroli dostępu, ograniczając dostęp do urządzeń tylko do zaufanych adresów IP i autoryzowanych użytkowników. Dla tych, którzy szukają alternatywnych rozwiązań, eksperci sugerują zbadanie opcji oprogramowania układowego innych firm, choć podkreślają znaczenie pozyskiwania takiego oprogramowania tylko z zaufanych i zweryfikowanych źródeł. Środki te należy jednak traktować jako rozwiązania tymczasowe, a użytkownicy powinni opracować i wdrożyć plany wymiany tych podatnych na ataki urządzeń tak szybko, jak to możliwe.

Źródło(a)

Please share our article, every link counts!
Mail Logo
> laptopy testy i recenzje notebooki > Nowinki > Archiwum v2 > Archiwum 2024 11 > Rozwiązanie D-Link na krytyczną lukę w NAS: Proszę kupić nowy sprzęt
Andrew Sozinov, 2024-11-10 (Update: 2024-11-11)