Атакуващите вече се насочват към критична уязвимост с публично достъпен код за експлойт, който засяга множество модели излезли от употреба мрежови устройства за съхранение (NAS) на D-Link, за което вече писахме..

Проследявана като CVE-2024-10914, уязвимостта за инжектиране на команди е открита от изследователя по сигурността Netsecfish, който също така споделя подробности за експлоатацията и казва, че неавтентифицирани нападатели могат да я използват, за да инжектират произволни шел команди чрез изпращане на злонамерени HTTP GET заявки към уязвими NAS устройства, изложени онлайн.

Списъкът със засегнатите модели NAS устройства включва DNS-320 версия 1.00, DNS-320LW версия 1.01.0914.2012, DNS-325 версия 1.01, версия 1.02 и DNS-340L версия 1.08.

Атаките започнаха, след като в петък D-Link заяви, че няма да отстрани дефекта в сигурността, тъй като той засяга само излезлите от употреба модели NAS, като предупреди клиентите да изтеглят засегнатите устройства или да ги обновят с по-нови продукти.

„Продуктите, които са достигнали своето EOL/EOS, вече не получават актуализации на софтуера на устройството и пачове за сигурност и вече не се поддържат от D-Link. D-Link САЩ препоръчва да се изтеглят от употреба и да се заменят устройствата D-Link, които са достигнали EOL/EOS“, заявиха от компанията.

Въпреки това, както откри услугата за наблюдение на заплахи Shadowserver,  заплахите са забелязали и са започнали да се насочват към уязвимостта в понеделник.

„Наблюдавахме опити за експлоатация на D-Link NAS CVE-2024-10914 /cgi-bin/account_mgr.cgi command injection от 12 ноември. Тази уязвимост засяга EOL/EOS устройства, които трябва да бъдат премахнати от интернет“, предупреди Shadowserver.

Докато Shadowserver заяви, че е открил малко над 1100 изложени на риск в интернет устройства D-Link NAS, Netsecfish заяви, че е открил над 41 000 уникални IP адреса онлайн, използвани от уязвими устройства, при сканиране на интернет с платформата FOFA на Huashun Xin’an.

През април Netsecfish съобщи и за твърдо кодирана задна врата и недостатък при инжектиране на произволна команда – засягащи почти същите модели на D-Link NAS и колективно проследени като CVE-2024-3273 – които могат да бъдат свързани, за да се изпълняват команди на устройството от разстояние.

Както заяви говорител на D-Link  през април, засегнатите NAS устройства не разполагат с възможности за автоматично актуализиране или функции за работа с клиенти, които да изпращат предупреждения. Поради това на тези, които използват устройства с изтекъл срок на годност, се препоръчва да ограничат достъпа от интернет възможно най-скоро, тъй като в миналото те са били мишена на атаки с рансъмуер.

„Обикновено D-Link не може да разрешава проблеми с устройствата или фърмуера за тези продукти, тъй като всички разработки и поддръжка на клиентите са прекратени“, отбеляза компанията в петък.

„D-Link настоятелно препоръчва извеждането на този продукт от употреба и предупреждава, че по-нататъшното му използване може да бъде рисковано за свързаните устройства. Ако потребителите в САЩ продължат да използват тези устройства противно на препоръките на D-Link, моля, уверете се, че устройството има най-новия фърмуер.“