Исследователи обнаружили, что более 60 000 NAS D-Link, поддержка которых уже прекращена, подвержены инъекциям команд. Хотя для этой проблемы уже существует общедоступный эксплоит, разработчики D-Link не планируют выпускать патчи.
Критическая уязвимость имеет идентификатор CVE-2024-10914 (9,2 балла по шкале CVSS) и связана с командой cgi_user_add, в которой параметр name не подвергается необходимой очистке. В результате неавторизованный злоумышленник может использовать проблему для внедрения произвольных шелл-команд, отправляя на устройства специально подготовленные запросы HTTP GET.
Ошибка затрагивает несколько моделей NAS D-Link:
- DNS-320 версии 1.00;
- DNS-320LW версии 1.01.0914.2012;
- DNS-325 версий 1.01 и 1.02;
- DNS-340L версии 1.08.
Обнаруживший эту уязвимость ИБ-исследователь Netsecfish пишет, что для ее эксплуатации необходимо «отправить модифицированный HTTP GET-запрос к NAS-устройству с вредоносным input'ом в параметре name»:
«Этот curl-запрос формирует URL, запускающий команду cgi_user_add с параметром name, включающим внедренную шелл-команду», — поясняет специалист.
Согласно данным Netsecfish, с помощью платформы FOFA удалось обнаружить 61 147 результатов и 41 097 уникальных IP-адресов, связанных с уязвимыми перед CVE-2024-10914 устройствами D-Link.
Представители компании D-Link уже опубликовали бюллетень безопасности, посвященный CVE-2024-10914, в котором подтвердили наличие проблемы. Однако патчей ждать не приходится, ведь поддержка уязвимых устройств уже прекращена, и производитель рекомендует владельцам NAS попросту отказаться от использования уязвимых продуктов или хотя бы изолировать их от интернета.
Стоит отметить, что весной текущего года D-Link точно так же не стала исправлять уязвимости CVE-2024-3272 и CVE-2024-3273, которые затрагивали более 90 000 устаревших NAS. Тогда устройства начали подвергаться атакам спустя всего несколько дней после раскрытия информации о баге.