Независимый исследователь кибербезопасности под псевдонимом «Netsecfish» обнаружил серьёзную уязвимость в нескольких моделях сетевых хранилищ D-Link, которые больше не поддерживаются производителем. Проблема заключается в скрипте «/cgi-bin/nas_sharing.cgi», влияющем на компонент обработчика HTTP GET запросов. Уязвимость, получившая обозначение CVE-2024-3273, связана с наличием встроенного в программное обеспечение аккаунта (имя пользователя «messagebus» без пароля) и возможностью инъекции команд через параметр «system». Это позволяет злоумышленникам удалённо выполнять команды на устройстве. Пример PoC-эксплойта, опубликованного исследователем, наглядно показывает, как добавление команды в кодировке base64 к параметру «system» приводит к её выполнению на устройстве. Белый хакер предупреждает, что успешное использование этой уязвимости может привести к несанкционированному доступу к чувствительной информации, изменению настроек системы или созданием условий для проведения атаки типа «отказ в обслуживании».
Модели устройств, на которые влияет CVE-2024-3273, следующие:
DNS-320L версии ПО 1.11, 1.03.0904.2013, 1.01.0702.2013;
DNS-325 версии ПО 1.01;
DNS-327L версии ПО1.09, Версия 1.00.0409.2013;
DNS-340L Версии 1.08.
По данным Netsecfish, в сети обнаружено более 92 000 уязвимых устройств D-Link, подверженных риску атак через эту уязвимость. Компания D-Link сообщила, что устройства достигли конца своего жизненного цикла и больше не поддерживаются. Производитель рекомендует заменить устаревшие устройства на те модели, которые ещё будут получать обновления прошивки. На своём официальном сайте D-Link также опубликовала бюллетень безопасности, чтобы повысить осведомлённость клиентов об уязвимости. А на специальной странице поддержки для устаревших устройств пользователи могут найти самые последние из выпушенных обновления безопасности и прошивки, доступные для моделей оборудования, поддержка которых была официально прекращена производителем. Компания также подчёркивает, что NAS-накопители никогда не должны быть доступны из интернета, поскольку они часто становятся целью для кражи данных или атак с использованием программ-вымогателей.