Търсене
Close this search box.

Изследовател на заплахи е разкрил нов недостатък, свързан с инжектиране на произволна команда и твърдо кодирана задна врата, в няколко модела мрежови устройства за съхранение на данни (NAS) на D-Link, които са в края на жизнения цикъл.
Изследователят, който е открил дефекта, „Netsecfish“, обяснява, че проблемът се крие в скрипта „/cgi-bin/nas_sharing.cgi“ и засяга неговия компонент HTTP GET Request Handler.
Двата основни проблема, допринасящи за дефекта, проследен като CVE-2024-3273, са задна врата, улеснена чрез твърдо кодиран акаунт (потребителско име: „messagebus“ и празна парола), и проблем с инжектиране на команда чрез параметъра „system“.
Когато се свържат заедно, всеки нападател може да изпълнява команди от устройството от разстояние.
Дефектът с инжектирането на команда възниква при добавянето на base64-кодирана команда към параметъра „system“ чрез HTTP GET заявка, която след това се изпълнява.

„Успешното използване на тази уязвимост може да позволи на атакуващия да изпълни произволни команди в системата, което потенциално може да доведе до неоторизиран достъп до чувствителна информация, промяна на системните конфигурации или отказ на услуга“, предупреждава изследователят.
Моделите устройства, засегнати от CVE-2024-3273, са:

  • DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
  • DNS-325 Version 1.01
  • DNS-327L Version 1.09, Version 1.00.0409.2013
  • DNS-340L Version 1.08

Netsecfish твърди, че сканирането на мрежата показва, че над 92 000 уязвими NAS устройства на D-Link са изложени онлайн и са податливи на атаки чрез тези недостатъци.

Няма налични кръпки

„Всички тези мрежови устройства за съхранение на данни на D-Link са с изтекъл срок на експлоатация и на обслужване от много години [и] ресурсите, свързани с тези продукти, са прекратили своето развитие и вече не се поддържат“, заяви говорителят на D-Link.
„D-Link препоръчва извеждането на тези продукти от употреба и замяната им с продукти, които получават актуализации на фърмуера.“
Говорителят също така заяви, че засегнатите устройства не разполагат с възможности за автоматично онлайн актуализиране или функции за работа с клиенти, които да доставят известия, както настоящите модели.
Ето защо доставчикът се е ограничил до бюлетина за сигурност, публикуван вчера, за да повиши осведомеността за дефекта и необходимостта от незабавно извеждане от употреба или замяна на тези устройства.
D-Link създаде специална страница за поддръжка за наследените устройства, където собствениците могат да навигират в архивите, за да намерят най-новите актуализации на сигурността и фърмуера.
Тези, които настояват да използват остарял хардуер, трябва поне да приложат най-новите налични актуализации, дори и те да не решават новооткрити проблеми като CVE-2024-3273.
Освен това NAS устройствата никога не трябва да бъдат излагани на интернет, тъй като те често са мишена за кражба на данни или криптиране при атаки с цел откуп.

 

Източник: e-security.bg

Подобни публикации

14 ноември 2024

Киберпрестъпници атакуват аерокосмическия секто...

Активна от септември миналата година фишинг кампания е насочена към...
14 ноември 2024

Държавни служители на САЩ са компрометирани при...

CISA и ФБР потвърдиха, че китайски хакери са компрометирали „частни...
14 ноември 2024

Критичен бъг в EoL устройствата D-Link NAS вече...

Атакуващите вече се насочват към критична уязвимост с публично дост...
14 ноември 2024

Функция на Pixel AI вече анализира телефонни ра...

Google добавя нова функция за защита от измами с помощта на изкуств...
13 ноември 2024

Най-използваните уязвимости през 2023 г. според...

Според данни от правителствени агенции от разузнавателния алианс „П...
13 ноември 2024

Защо с 10 езика за програмиране не сте по-интер...

Нови данни от LinkedIn за най-търсените професии в платформата през...
13 ноември 2024

Полезни практики при онлайн пазаруването

Средата на ноември е. С наближаването на Коледните празници се акти...
13 ноември 2024

OT: Съвети за сигурност, публикувани от CISA, S...

Siemens, Schneider Electric, CISA и Rockwell Automation публикуваха...
13 ноември 2024

Джак Тейшейра е осъден на 15 години затвор от ф...

Във вторник федерален съдия осъди член на Националната въздушна гва...
Бъдете социални
Още по темата
14/11/2024

Критичен бъг в EoL устройст...

Атакуващите вече се насочват към критична...
11/11/2024

Palo Alto Networks адресира...

Palo Alto Networks призовава клиентите си...
09/11/2024

D-Link няма да поправи крит...

Повече от 60 000 мрежови устройства...
Последно добавени
14/11/2024

Киберпрестъпници атакуват а...

Активна от септември миналата година фишинг...
14/11/2024

Държавни служители на САЩ с...

CISA и ФБР потвърдиха, че китайски...
14/11/2024

Критичен бъг в EoL устройст...

Атакуващите вече се насочват към критична...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!