Независимый исследователь кибербезопасности под псевдонимом “Netsecfish” обнаружил серьёзную уязвимость в нескольких моделях сетевых хранилищ D-Link, которые больше не поддерживаются производителем. Проблема заключается в скрипте “/cgi-bin/nas_sharing.cgi”, влияющем на компонент обработчика HTTP GET запросов.
Уязвимость, получившая обозначение CVE-2024-3273,связана с наличием зашитого в программное обеспечение аккаунта (имя пользователя “messagebus” без пароля) и возможностью инъекции команд через параметр “system”. Это позволяет злоумышленникам удалённо выполнять команды на устройстве.
Пример PoC-эксплойта, опубликованного исследователем, наглядно показывает, как добавление команды в кодировке base64 к параметру “system” приводит к её выполнению на устройстве.
Белый хакер предупреждает, что успешное использование этой уязвимости может привести к несанкционированному доступу к чувствительной информации, изменению настроек системы или созданием условий для проведения атаки типа “отказ в обслуживании”.
Модели устройств, на которые влияет CVE-2024-3273, следующие:
- DNS-320L версии ПО 1.11, 1.03.0904.2013, 1.01.0702.2013;
- DNS-325 версии ПО 1.01;
- DNS-327L версии ПО1.09, Версия 1.00.0409.2013;
- DNS-340L Версии 1.08.
По данным Netsecfish, в сети обнаружено более 92 000 уязвимых устройств D-Link, подверженных риску атак через эту уязвимость.
Компания D-Link сообщила, что устройства достигли конца своего жизненного цикла и больше не поддерживаются. Производитель рекомендует заменить устаревшие устройства на те модели, которые ещё будут получать обновления прошивки.
На своём официальном сайте D-Link также опубликовалабюллетень безопасности, чтобы повысить осведомлённость клиентов об уязвимости. А на специальной страницеподдержки для устаревших устройств пользователи могут найти самые последние из выпушенных обновления безопасности и прошивки, доступные для моделей оборудования, поддержка которых была официально прекращена производителем.
Компания также подчёркивает, что NAS-накопители никогда не должны быть доступны из интернета, поскольку они часто становятся целью для кражи данных или атак с использованием программ-вымогателей.