Изследовател на заплахи е разкрил нов недостатък, свързан с инжектиране на произволна команда и твърдо кодирана задна врата, в няколко модела мрежови устройства за съхранение на данни (NAS) на D-Link, които са в края на жизнения цикъл.
Изследователят, който е открил дефекта, „Netsecfish“, обяснява, че проблемът се крие в скрипта „/cgi-bin/nas_sharing.cgi“ и засяга неговия компонент HTTP GET Request Handler.
Двата основни проблема, допринасящи за дефекта, проследен като CVE-2024-3273, са задна врата, улеснена чрез твърдо кодиран акаунт (потребителско име: „messagebus“ и празна парола), и проблем с инжектиране на команда чрез параметъра „system“.
Когато се свържат заедно, всеки нападател може да изпълнява команди от устройството от разстояние.
Дефектът с инжектирането на команда възниква при добавянето на base64-кодирана команда към параметъра „system“ чрез HTTP GET заявка, която след това се изпълнява.
„Успешното използване на тази уязвимост може да позволи на атакуващия да изпълни произволни команди в системата, което потенциално може да доведе до неоторизиран достъп до чувствителна информация, промяна на системните конфигурации или отказ на услуга“, предупреждава изследователят.
Моделите устройства, засегнати от CVE-2024-3273, са:
Netsecfish твърди, че сканирането на мрежата показва, че над 92 000 уязвими NAS устройства на D-Link са изложени онлайн и са податливи на атаки чрез тези недостатъци.
„Всички тези мрежови устройства за съхранение на данни на D-Link са с изтекъл срок на експлоатация и на обслужване от много години [и] ресурсите, свързани с тези продукти, са прекратили своето развитие и вече не се поддържат“, заяви говорителят на D-Link.
„D-Link препоръчва извеждането на тези продукти от употреба и замяната им с продукти, които получават актуализации на фърмуера.“
Говорителят също така заяви, че засегнатите устройства не разполагат с възможности за автоматично онлайн актуализиране или функции за работа с клиенти, които да доставят известия, както настоящите модели.
Ето защо доставчикът се е ограничил до бюлетина за сигурност, публикуван вчера, за да повиши осведомеността за дефекта и необходимостта от незабавно извеждане от употреба или замяна на тези устройства.
D-Link създаде специална страница за поддръжка за наследените устройства, където собствениците могат да навигират в архивите, за да намерят най-новите актуализации на сигурността и фърмуера.
Тези, които настояват да използват остарял хардуер, трябва поне да приложат най-новите налични актуализации, дори и те да не решават новооткрити проблеми като CVE-2024-3273.
Освен това NAS устройствата никога не трябва да бъдат излагани на интернет, тъй като те често са мишена за кражба на данни или криптиране при атаки с цел откуп.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.