Περισσότερες από 60.000 συσκευές αποθήκευσης συνδεδεμένες στο δίκτυο D-Link που έχουν φτάσει στο τέλος της ζωής τους είναι ευάλωτες σε μια ευπάθεια έγχυσης εντολών με μια δημόσια διαθέσιμη εκμετάλλευση.
Το ελάττωμα, παρακολουθείται ως CVE-2024-10914έχει μια κρίσιμη βαθμολογία σοβαρότητας 9,2 και υπάρχει στην εντολή ‘cgi_user_add’ όπου η παράμετρος ονόματος δεν έχει απολυμανθεί επαρκώς.
Ένας εισβολέας χωρίς έλεγχο ταυτότητας θα μπορούσε να το εκμεταλλευτεί για να εισάγει αυθαίρετες εντολές φλοιού στέλνοντας ειδικά διαμορφωμένα αιτήματα HTTP GET στις συσκευές.
Το ελάττωμα επηρεάζει πολλά μοντέλα συσκευών αποθήκευσης συνδεδεμένης με το δίκτυο D-Link (NAS) που χρησιμοποιούνται συνήθως από μικρές επιχειρήσεις:
- DNS-320 Έκδοση 1.00
- DNS-320LW Έκδοση 1.01.0914.2012
- DNS-325 Έκδοση 1.01, Έκδοση 1.02
- DNS-340L Έκδοση 1.08
Σε μια τεχνική καταγραφή που παρέχει λεπτομέρειες εκμετάλλευσης, ο ερευνητής ασφάλειας Netsecfish λέει ότι η μόχλευση της ευπάθειας απαιτεί την αποστολή “ένα δημιουργημένο αίτημα HTTP GET στη συσκευή NAS με κακόβουλη είσοδο στην παράμετρο ονόματος”.
curl "http://[Target-IP]/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;;%27"
“Αυτό το αίτημα curl δημιουργεί μια διεύθυνση URL που ενεργοποιεί την εντολή cgi_user_add με μια παράμετρο ονόματος που περιλαμβάνει μια εντολή injected shell“, εξηγεί ο ερευνητής.
Μια αναζήτηση που διεξήγαγε η Netsecfish στην πλατφόρμα FOFA επέστρεψε 61.147 αποτελέσματα σε 41.097 μοναδικές διευθύνσεις IP για συσκευές D-Link ευάλωτες στο CVE-2024-10914.
Πηγή: Netsecfish
Σε ένα δελτίο ασφαλείας Σήμερα, η D-Link επιβεβαίωσε ότι δεν έρχεται μια επιδιόρθωση για το CVE-2024-10914 και ο πωλητής συνιστά στους χρήστες να αποσύρουν ευάλωτα προϊόντα.
Εάν αυτό δεν είναι δυνατό αυτή τη στιγμή, οι χρήστες θα πρέπει τουλάχιστον να τους απομονώσουν από το δημόσιο Διαδίκτυο ή να τους θέσουν υπό αυστηρότερους όρους πρόσβασης.
Ο ίδιος ερευνητής ανακάλυψε τον Απρίλιο του τρέχοντος έτους μια αυθαίρετη έγχυση εντολών και ένα σφάλμα backdoor με σκληρό κώδικα, που εντοπίστηκε ως CVE-2024-3273, επηρεάζοντας κυρίως τα ίδια μοντέλα NAS D-Link με το τελευταίο ελάττωμα.
Τότε, οι σαρώσεις διαδικτύου FOFA επέστρεψαν 92.589 αποτελέσματα.
Απαντώντας στην κατάσταση εκείνη την εποχή, ένας εκπρόσωπος της D-Link είπε στο BleepingComputer ότι η εταιρεία δικτύωσης δεν κατασκευάζει πλέον συσκευές NAS και ότι τα επηρεαζόμενα προϊόντα είχαν φτάσει στο EoL και δεν θα λαμβάνουν ενημερώσεις ασφαλείας.
VIA: bleepingcomputer.com
