Спецпроекты

Безопасность Телеком Техника

Хакеры атаковали сетевые хранилища известного производителя с опаснейшей «дырой», которую тот решил не закрывать

Хакеры ринулись взламывать NAS производства D-Link через критическую уязвимость, о которой стало известно всего несколько дней назад. Перед этим тайваньский вендор объявил о том, что не станет закрывать брешь, поскольку у устройств, подверженных проблеме, истек срок поддержки.

Злоумышленники обратили внимание на недавно обнаруженную брешь

Злоумышленники атаковали сетевые устройства D-Link, программное обеспечение которых содержит опасную уязвимость, после заявления компании об отсутствии планов по ее устранению, пишет Bleeping Computer.

Уязвимость, фигурирующая в базах данных под идентификатором CVE-2024-10914, оценена экспертами как критическая (9,2 балла из 10 по шкале CVSS 4). Ей подвержены сетевые хранилища (NAS) D-Link DNS-320, DNS-320LW, DNS-325 and DNS-340L с прошивкой вплоть до версии 20241028.

Соответствующая брешь была обнаружена исследователем в сфере безопасности Netsecfish. По словам специалиста, ошибки в реализации функции «cgi_user_add» системного скрипта прошивки по адресу «/cgi-bin/account_mgr.cgi» позволяют злоумышленнику выполнить на устройстве произвольную команду операционной системы путем ее встраивания в аргумент с дальнейшей передачей в виде GET-запроса по протоколу HTTP.

Уязвимые NAS D-Link, до сих пор не отключенные их владельцами от Сети, подверглись хакерким атакам

Уязвимость может быть использована удаленно, однако сложность атаки с ее применением является довольно высокой, говорится в статье, посвященной бреши, на портале NIST. Впрочем, задачу упрощает наличие эксплойта, находящегося в свободном доступе в Сети.

Ответ D-Link подстегнул хакеров

В ноябре 2024 г. CNews сообщил о том, что тайваньская компания D-Link отказалась устранять уязвимость в прошивках своих сетевых хранилищ, сославшись на окончание срока их поддержки. Подразделение D-Link в США порекомендовало владельцам «проблемных» NAS вывести их из эксплуатации и заменить более современным оборудованием.

Такая публичная реакция со стороны D-Link, вероятно, в какой-то мере способствовала росту интереса к устаревшим NAS со стороны взломщиков, которые практически сразу после обнародования информации об уязвимости и эксплойта принялись атаковать устройства этого типа.

Cервис мониторинга угроз Shadowserver зафиксировал ряд попыток проведения атак на уязвимые NAS D-Link 12 ноября посредством CVE-2024-10914. Всего Shadowserver было обнаружено чуть более 1,1 тыс. таких сетевых хранилищ, доступных из интернета. Реальное же количество устройств D-Link, являющихся потенциальной целью кибератак, может исчисляться десятками тысяч. Netsecfish, в частности, нашел 41 тыс. уникальных IP-адресов, привязанных к уязвимым девайсам D-Link, при помощи платформы FOFA.

Для защиты от атаки типа «инъекция» команда ОС Shadowserver рекомендует владельцам упомянутых ранее NAS D-Link закрыть доступ к устройствам извне или просто отключить их от Сети.

История повторяется

В оборудовании производства D-Link и ранее находили опаснейшие «дыры», которые тайваньский вендор впоследствии отказывался устранять, обосновывая свое решение тем, что «проблемное» оборудование достигло конца жизненного цикла.

В ноябре 2024 г. независимый ИБ-исследователь Чайо Линь Ю (Chaio-Lin Yu) выявил критическую уязвимость в модемах D-Link модели DSL6740C. При помощи бреши (CVE-2024-11068) злоумышленник мог удаленно сменить пароль любого пользователя в системе управления модемом и установить полный контроль над устройством. О своей специалист сообщил в Тайваньский CERT (TWCERTCC). Официальная поддержка этого устройства была прекращена в начале 2024 г., в связи с чем D-Link отказалась от выпуска исправленной версии прошивки.

В начале сентября 2024 г. D-Link сообщила, что четыре уязвимости удаленного выполнения кода (RCE), затрагивающие все версии маршрутизаторов DIR-846W, устранены не будут. Три из четырех выявленных брешей были признаны критическими. Обнаруживший их исследователь в сфере безопасности yali-1002 от публикации эксплойтов воздержался.

В апреле 2024 г. Netsecfish обнаружил серьезную уязвимость (CVE-2024-3273) в нескольких моделях сетевых хранилищ D-Link, которые больше не поддерживаются производителем. Злоумышленник с ее помощью мог добиться выполнения произвольных команд на уровне ОС NAS за счет использования учетной записи, информация о которой была зашита прямо в программный код (пользователь «messagebus» без пароля), и инъекции команды при вызове скрипта «/cgi-bin/nas_sharing.cgi» через параметр «system». Специалист опубликовал пример эксплойта.

Впрочем, подход, свойственен не только D-Link, но и некоторым ее конкурентам по отрасли производства сетевого оборудования. Так, американский вендор Cisco в период с 2022 по 2023 г. как минимум трижды отказывался закрывать бреши: в морально устаревших маршрутизаторах, в том числе моделей RV016, RV042, RV042G, RV082, RV110W, RV130; линейках роутеров RV130W и RV215W и VoIP-адаптерах SPA112.

Дмитрий Степанов

Короткая ссылка