D-Link отказывается исправлять уязвимость безопасности на более чем 60 000 устройствах NAS

9 ноября 2024, 21:47 / Технологии → Новости / Технологии

Исследователь безопасности Netsecfish обнаружил критическую уязвимость в нескольких популярных моделях D-Link NAS, которая может позволить неаутентифицированному злоумышленнику выполнить атаку с внедрением команд через запрос HTTP GET. Согласно сайту Netsecfish Notion (h/t BleepingComputer), уязвимость находится в скрипте account_mgr.cgi, где они могли добавить вредоносный ввод в параметр имени для выполнения эксплойта. Эта проблема отслеживается в Национальной базе данных уязвимостей (NVD) как CVE-2024-10914 и объявлена критической уязвимостью с оценкой серьезности 9,2.

Данная проблема затрагивает следующие модели D-Link: DNS-320 версии 1.00, DNS-320LW версии 1.01.0914.2012, DNS-325 версии 1.01, версии 1.02 и DNS-340L версии 1.08.

К сожалению для пользователей этих устройств, D-Link отказалась выпустить исправление безопасности для этой проблемы, отметив, что «Продукты, достигшие EOL/EOS, больше не получают обновления программного обеспечения устройств и исправления безопасности и больше не поддерживаются D-Link». Все затронутые модели достигли даты окончания срока службы/окончания обслуживания по состоянию на 2020 год, и «D-Link US рекомендует вывести из эксплуатации и заменить устройства D-Link, достигшие EOL/EOS».

Netsecfish провела FOFA затронутых моделей D-Link, и платформа вернула 61 147 результатов с 41 097 уникальными IP-адресами. Хотя NVD утверждает, что сложность атаки может быть высокой, а эксплуатация уязвимости затруднена, любой, кто обладает знаниями и возможностями, теоретически может получить доступ к любой из этих общедоступных машин D-Link NAS.

Если вы используете одну из этих моделей, настоятельно рекомендуется заменить вашу систему NAS на ту, которая все еще получает исправления от производителя. Если это невозможно прямо сейчас, Netsecfish предлагает ограничить доступ к меню/интерфейсу настроек NAS только доверенными IP-адресами. Вы также можете изолировать свой NAS от публичного Интернета, чтобы гарантировать, что только авторизованные пользователи смогут взаимодействовать с ним.

В качестве альтернативы вы можете поискать стороннюю прошивку, поддерживающую затронутое оборудование. Однако вы должны убедиться, что загружаете прошивку из надежного источника. Но если вы считаете, что пришло время получить новый NAS для вашего дома, офиса или бизнеса, вам следует ознакомиться с нашим списком лучших NAS, прежде чем выбирать один для установки.

Источник: Tomshardware.com