Исследователи обнаружили, что более 60 000 NAS D-Link, поддержка которых уже прекращена, подвержены инъекциям команд. Хотя для этой проблемы уже существует общедоступный эксплоит, разработчики D-Link не планируют выпускать патчи.

Критическая уязвимость имеет идентификатор CVE-2024-10914 (9,2 балла по шкале CVSS) и связана с командой cgi_user_add, в которой параметр name не подвергается необходимой очистке. В результате неавторизованный злоумышленник может использовать проблему для внедрения произвольных шелл-команд, отправляя на устройства специально подготовленные запросы HTTP GET.

Ошибка затрагивает несколько моделей NAS D-Link:

  • DNS-320 версии 1.00;
  • DNS-320LW версии 1.01.0914.2012;
  • DNS-325 версий 1.01 и 1.02;
  • DNS-340L версии 1.08.

Обнаруживший эту уязвимость ИБ-исследователь Netsecfish пишет, что для ее эксплуатации необходимо «отправить модифицированный HTTP GET-запрос к NAS-устройству с вредоносным input'ом в параметре name»:

 

«Этот curl-запрос формирует URL, запускающий команду cgi_user_add с параметром name, включающим внедренную шелл-команду», — поясняет специалист.

Согласно данным Netsecfish, с помощью платформы FOFA удалось обнаружить 61 147 результатов и 41 097 уникальных IP-адресов, связанных с уязвимыми перед CVE-2024-10914 устройствами D-Link.

Представители компании D-Link уже опубликовали бюллетень безопасности, посвященный CVE-2024-10914, в котором подтвердили наличие проблемы. Однако патчей ждать не приходится, ведь поддержка уязвимых устройств уже прекращена, и производитель рекомендует владельцам NAS попросту отказаться от использования уязвимых продуктов или хотя бы изолировать их от интернета.

Стоит отметить, что весной текущего года D-Link точно так же не стала исправлять уязвимости CVE-2024-3272 и CVE-2024-3273, которые затрагивали более 90 000 устаревших NAS. Тогда устройства начали подвергаться атакам спустя всего несколько дней после раскрытия информации о баге.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии