Повече от 60 000 мрежови устройства за съхранение на D-Link, които са излезли от употреба, са уязвими към инжектиране на команди с публично достъпен експлойт.
Недостатъкът, проследяван като CVE-2024-10914, има критична оценка на сериозност 9,2 и е наличен в командата „cgi_user_add“, където параметърът name не е достатъчно добре обработен.
Неупълномощен нападател може да се възползва от нея, за да инжектира произволни шел команди, като изпрати специално създадени HTTP GET заявки към устройствата.
Недостатъкът засяга няколко модела устройства за мрежово съхранение (NAS) на D-Link, които обикновено се използват от малкия бизнес:
В техническо описание, което предоставя подробности за експлоатирането, изследователят по сигурността Netsecfish казва, че използването на уязвимостта изисква изпращането на „изработена HTTP GET заявка към NAS устройството със злонамерен вход в параметъра name“.
curl „http://[Target-IP]/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27“
„Тази curl заявка конструира URL адрес, който задейства командата cgi_user_add с параметър name, който включва инжектирана shell команда“, обяснява изследователят. Търсенето, което Netsecfish извърши в платформата FOFA, върна 61 147 резултата на 41 097 уникални IP адреса за устройства на D-Link, уязвими към CVE-2024-10914.
В днешния бюлетин за сигурност D-Link потвърди, че поправка за CVE-2024-10914 няма да има и производителят препоръчва на потребителите да изтеглят уязвимите продукти.
Ако това не е възможно в момента, потребителите трябва поне да ги изолират от публичния интернет или да ги поставят при по-строги условия за достъп.
Същият изследовател откри през април тази година недостатък, свързан с инжектиране на произволна команда и твърдо кодирана задна врата, проследен като CVE-2024-3273, който засяга предимно същите модели NAS на D-Link като последния недостатък.
Тогава сканирането на FOFA в интернет върна 92 589 резултата.
В отговор на ситуацията тогава говорител на D-Link заяви пред BleepingComputer, че фирмата за мрежи вече не произвежда NAS устройства, а засегнатите продукти са достигнали EoL и няма да получават актуализации на сигурността.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.