Badacz ds. bezpieczeństwa z firmy Netsecfish odkrył poważną lukę bezpieczeństwa w kilku popularnych modelach NAS (Network-Attached Storage) firmy D-Link, która może narażać użytkowników na atak hakerski. Wykorzystując tę lukę, potencjalni atakujący mogą bez uwierzytelnienia wykonać złośliwe polecenia za pomocą specjalnie spreparowanego żądania HTTP GET. Problem dotyczy kilku starszych modeli D-Link, których użytkownicy zostali bez wsparcia technicznego po zakończeniu cyklu życia tych urządzeń.
Luka w skrypcie account_mgr.cgi
Luka została zlokalizowana w skrypcie systemowym „account_mgr.cgi”, który obsługuje kluczowe funkcje zarządzania kontami w modelach NAS D-Link. Według danych opublikowanych na stronie Netsecfish i przekazanych dalej przez serwis BleepingComputer, atakujący mógłby wprowadzić złośliwe dane do parametru „name”, co umożliwia wykonanie kodu na urządzeniu. National Vulnerability Database (NVD) przypisała tej luce identyfikator CVE-2024-10914, klasyfikując ją jako krytyczną z oceną ważności na poziomie 9,2 w 10-punktowej skali, co wskazuje na wysokie zagrożenie.
To już kolejny raz, gdy D-Link porzuca użytkowników. W 2022 roku nagle przestali wspierać swoje urządzenia smart i wyłączyli serwery, pozostawiają klientów z elektrozłomem.
Problem dotyczy następujących modeli NAS firmy D-Link:
- DNS-320 – wersja oprogramowania 1.00,
- DNS-320LW – wersja 1.01.0914.2012,
- DNS-325 – wersje 1.01 oraz 1.02,
- DNS-340L – wersja 1.08.
Urządzenia te uzyskały status EOL/EOS (End of Life/End of Support) w 2020 roku, co oznacza, że D-Link przestał zapewniać dla nich aktualizacje bezpieczeństwa oraz wsparcie techniczne.
Brak poprawki i rekomendacje producenta
Firma D-Link poinformowała, że nie zamierza udostępniać poprawki zabezpieczeń, argumentując to zakończeniem cyklu życia (EOL) oraz wsparcia technicznego (EOS) dla tych produktów. W oficjalnym komunikacie D-Link zaleca wycofanie i wymianę wymienionych modeli na nowe urządzenia, które otrzymują aktualizacje zabezpieczeń i są zgodne z bieżącymi standardami ochrony danych.
Skala zagrożenia
W ramach testów bezpieczeństwa firma Netsecfish przeprowadziła analizę FOFA dotyczącą modeli NAS D-Link, a wyniki wskazują, że istnieje ponad 61 000 urządzeń podłączonych do internetu, z 41 097 unikalnymi adresami IP. Chociaż NVD podkreśla, że wykorzystanie luki wymaga zaawansowanych umiejętności technicznych, potencjalnie każda osoba posiadająca odpowiednią wiedzę mogłaby uzyskać dostęp do publicznie dostępnych urządzeń NAS, eksponując tym samym prywatne dane użytkowników na niebezpieczeństwo.
Dla posiadaczy wyżej wymienionych modeli NAS D-Link Netsecfish przygotował kilka wskazówek, które mogą zmniejszyć ryzyko ataku:
- Wymiana urządzenia na nowszy model: Najlepszym rozwiązaniem dla bezpieczeństwa jest zamiana starszych urządzeń na modele, które wciąż otrzymują wsparcie producenta.
- Ograniczenie dostępu: W przypadku, gdy wymiana nie jest możliwa, należy ograniczyć dostęp do interfejsu zarządzania NAS wyłącznie do zaufanych adresów IP.
- Odłączenie NAS od publicznego internetu: Dodatkową ochronę może zapewnić izolacja urządzenia NAS, tak by było dostępne tylko z sieci lokalnej, co ograniczy ryzyko ataku z zewnątrz.
- Poszukiwanie alternatywnego oprogramowania układowego: Można rozważyć zainstalowanie oprogramowania innej firmy, jednak powinno ono pochodzić wyłącznie ze sprawdzonego i zaufanego źródła.
Przypomnijmy, że w 2022 roku D-Link całkowicie wyłączył wsparcie dla swoich produktów Smart Home i kamer domowych. Aplikacje mydlink Home i usługi w chmurze zostały wyłączone, a użytkownicy mogli wyrzucić produkty do kosza. Brak aplikacji oznaczał m.in. brak powiadomień, zdalnego przeglądania i komunikacji z urządzeniami.
Pokaż / Dodaj komentarze do: D—Link nie załata luki w zabezpieczeniach popularnych urządzeń. "Kupcie sobie nowe"