Notebookcheck Logo

Решение D-Link для устранения критической уязвимости NAS: Купите новое оборудование

D-Link не спешит исправлять критическую уязвимость в NAS (Источник изображения: D-Link)
D-Link не спешит исправлять критическую уязвимость в NAS (Источник изображения: D-Link)
В нескольких NAS-устройствах D-Link была обнаружена критическая уязвимость, связанная с инъекцией команд, что представляет собой высокий риск для безопасности из-за отсутствия средств защиты аутентификации. Компания D-Link отказалась выпускать исправления безопасности для затронутых моделей, срок службы которых истек в 2020 году, и вместо этого рекомендует пользователям полностью заменить устройства. Эксперты рекомендуют изолировать эти устройства от публичных сетей и внедрить строгий контроль доступа.
кринж и фэйспалм NAS безопасность

Исследователь безопасности Netsecfish обнаружил серьезную уязвимость для инъекции команд, затрагивающую тысячи старых сетевых устройств хранения данных (NAS) компании D-Link. Уязвимость, зарегистрированная как CVE-2024-10914 в Национальной базе данных уязвимостей (NVD), имеет критический балл серьезности 9.2 и представляет собой значительный риск для пользователей, все еще полагающихся на эти устаревшие устройства.

Уязвимость кроется в функциональности команды 'cgi_user_add', а именно в параметре 'name', в котором отсутствует надлежащая санитарная обработка ввода. Особенно опасным этот недостаток делает то, что он может быть использован без аутентификации, позволяя злоумышленникам внедрять произвольные команды shell через поддельные HTTP GET запросы.

Следующее D-Link затронуты этой проблемой:

  • D-Link DNS-320 версии 1.00
  • D-Link DNS-320LW Версия 1.01.0914.2012
  • D-Link DNS-325 Версии 1.01 и 1.02
  • D-Link DNS-340L Версия 1.08

FOFA-сканирование Netsecfish затронутых моделей NAS выявило 61 147 результатов с 41 097 уникальными IP-адресами. Хотя NVD предполагает высокую сложность атаки, опытные злоумышленники потенциально могут использовать эти уязвимые устройства, если они попадут в открытый Интернет.

К сожалению, компания D-Link заявила, что не будет выпускать патч, ссылаясь на то, что все эти модели уже отработали свой срок службы (EOL/EOS) до 2020 года. В своем заявлении компания D-Link рекомендовала пользователям вывести эти устройства из эксплуатации или заменить их, поскольку никаких обновлений программного обеспечения или исправлений безопасности больше не будет.

Эксперты по безопасности наметили несколько временных мер для пользователей, которые не могут немедленно заменить затронутые устройства D-Link NAS. Прежде всего, они настоятельно рекомендуют изолировать эти устройства от публичного доступа в Интернет, чтобы минимизировать подверженность потенциальным атакам. Кроме того, организациям следует применять строгие меры контроля доступа, ограничивая доступ к устройствам только доверенными IP-адресами и авторизованными пользователями. Тем, кто ищет альтернативные решения, эксперты советуют изучить варианты прошивок от сторонних разработчиков, хотя они подчеркивают важность получения таких прошивок только из надежных и проверенных источников. Однако эти меры следует рассматривать как временные решения, и пользователям настоятельно рекомендуется разработать и реализовать планы по замене этих уязвимых устройств, как только это станет возможным.

Источник(и)

Netsecfish via BleepingComputer

Этот важный материал точно понравится твоим друзьям в социальных сетях!
'
> Обзоры Ноутбуков, Смартфонов, Планшетов. Тесты и Новости > Новости > Архив новостей > Архив новостей за 2024 год, 11 месяц > Решение D-Link для устранения критической уязвимости NAS: Купите новое оборудование
Andrew Sozinov, 2024-11-10 (Update: 2024-11-10)