Поделиться
Сотня тысяч сетевых накопителей D-Link открыта для тривиального взлома
Устаревшие устройства D-Link содержат двойную уязвимость, позволяющую запускать на них произвольные команды. Вендор отказывается выпускать обновления.
92 тысячи устройств с торчащей наружу уязвимостью
Эксперт по информационной безопасности, известный под никоом Netsecfish, выявил двойную проблему в сетевых накопителях D-Link, потенциально затрагивающую 92 тыс. устройств во всём мире. Уязвимость, позволяющая запускать произвольную команду в программной оболочке устройств, и встроенный бэкдор, позволяют захватывать контроль над устройством удалённо. Уязвимые устройства достигли конца своего жизненного цикла и с высокой долей вероятности не получат обновлений от вендора.
Как выяснил Netsecfish, проблема непосредственно затрагивает скрипт /cgi-bin/nas_sharing.cgi и его компонент, обрабатывающий запросы HTTP GET.
Уязвимость, получившая в итоге индекс CVE-2024-3273, включает фиксированный аккаунт с пользовательским именем messagebus и отсутствующим паролем (образуя тем самым бэкдор), и ошибка, вызывающая возможность инъекции команды с помощью параметра System. Судя по описанию и скриншоту, достаточно добавить в запрос HTTP GET произвольную команду, зашифрованную base64, и она будет исполнена без малейшего сопротивления со стороны устройства.
Комбинация этих уязвимостей обеспечивает любому желающему возможность запуска произвольного кода без физического доступа к устройству.
«Комбинация из двух заурядных ошибок», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. По ее словам, фиксированный аккаунт в устройстве просто забыли убрать перед его выпуском, да и возможность внедрения команд выглядит как следствие банального недосмотра со стороны программистов. «К сожалению, довольно распространённая ситуация с сетевым оборудованием потребительского уровня, так что они требуют повышенного внимания со стороны своих обладателей. К сожалению, они очень редко его удостаиваются», - подытожила Анастасия Мельникова.
Поддержки не будет
Список моделей устройств, в которых содержится уязвимость, сравнительно невелик: DNS-320L версий оболочек 1.11, 1.03.0904.2013 и 1.01.0702.2013, DNS-325 версии 1.01, DNS-327L версий 1.09 и 1.00.0409.2013 и DNS-340L версии 1.08.
Однако, сканирование сетей позволило выявить 92 тыс. уязвимых NAS-устройств, не закрытых файерволлом, а значит, атаковать их может любой желающий.
Проблема ещё и в том, что перечисленные устройства сняты с поддержки, и, соответственно, никаких обновлений не получат. В D-Link прямо заявили журналистам, что компания рекомендует отказаться от использования этих накопителей в пользу более новых.
Эта же рекомендация приводится в бюллетене, опубликованном самим D-Link.
Тем не менее, на сайте компании присутствует страница, посвящённая поддержке устаревших устройств, где можно найти самые новые версии программных оболочек. Если возможности отказаться от старых устройств нет, то можно хотя бы обновить их программные компоненты до последней официальной версии. Хотя уязвимости CVE-2024-3273 они исправить не смогут.
Главное, однако, это изолировать NAS-устройства от внешнего доступа из интернета: для злоумышленников такие накопители являются особенно лакомой добычей.
Поделиться
Короткая ссылка
