Deutsch
English
Español
Français
Italiano
Nederlands
Português
Русский
Türkçe
Svenska
Chinese
MagyarRozwiązanie D-Link na krytyczną lukę w NAS: Proszę kupić nowy sprzęt
Badacz bezpieczeństwa Netsecfish odkrył poważną lukę w zabezpieczeniach dotyczącą wstrzykiwania poleceń w tysiącach starszych urządzeń sieciowej pamięci masowej (NAS) firmy D-Link. Luka, śledzona jako CVE-2024-10914 w National Vulnerability Database (NVD), ma krytyczną ocenę ważności 9.2 i stanowi poważne zagrożenie dla użytkowników, którzy nadal polegają na tych urządzeniach wycofanych z eksploatacji.
Luka znajduje się w funkcji polecenia "cgi_user_add", a konkretnie w parametrze "name", w którym brakuje odpowiedniej sanityzacji danych wejściowych. To, co czyni tę lukę szczególnie niebezpieczną, to fakt, że można ją wykorzystać bez uwierzytelnienia, umożliwiając atakującym wstrzykiwanie dowolnych poleceń powłoki za pośrednictwem spreparowanych żądań HTTP GET.
Poniżej Modele D-Link są dotknięte tym problemem:
- D-Link DNS-320 w wersji 1.00
- D-Link DNS-320LW Wersja 1.01.0914.2012
- D-Link DNS-325 wersje 1.01 i 1.02
- D-Link DNS-340L Wersja 1.08
Przeprowadzone przez Netsecfish skanowanie FOFA dotkniętych modeli NAS ujawniło 61 147 wyników z 41 097 unikalnymi adresami IP. Chociaż NVD sugeruje, że złożoność ataku jest wysoka, wykwalifikowani atakujący mogą potencjalnie wykorzystać te podatne urządzenia, jeśli zostaną wystawione na publiczny Internet.
Niestety, D-Link oświadczył, że nie wyda poprawki, powołując się na fakt, że wszystkie te modele osiągnęły koniec okresu użytkowania / koniec usługi (EOL / EOS) od 2020 roku. W oświadczeniu D-Link zalecił użytkownikom wycofanie lub wymianę tych urządzeń, ponieważ nie będą dostarczane żadne dalsze aktualizacje oprogramowania ani poprawki bezpieczeństwa.
Eksperci ds. bezpieczeństwa przedstawili kilka środków tymczasowych dla użytkowników, którzy nie mogą natychmiast wymienić swoich urządzeń D-Link NAS. Przede wszystkim zdecydowanie zalecają odizolowanie tych urządzeń od publicznego dostępu do Internetu, aby zminimalizować narażenie na potencjalne ataki. Ponadto, organizacje powinny wdrożyć ścisłe środki kontroli dostępu, ograniczając dostęp do urządzeń tylko do zaufanych adresów IP i autoryzowanych użytkowników. Dla tych, którzy szukają alternatywnych rozwiązań, eksperci sugerują zbadanie opcji oprogramowania układowego innych firm, choć podkreślają znaczenie pozyskiwania takiego oprogramowania tylko z zaufanych i zweryfikowanych źródeł. Środki te należy jednak traktować jako rozwiązania tymczasowe, a użytkownicy powinni opracować i wdrożyć plany wymiany tych podatnych na ataki urządzeń tak szybko, jak to możliwe.
Źródło(a)
Netsecfish przez BleepingComputer
