Κρίσιμο σφάλμα σε συσκευές EoL D-Link NAS που χρησιμοποιείται πλέον σε επιθέσεις

​Οι εισβολείς στοχεύουν τώρα μια ευπάθεια κρίσιμης σοβαρότητας με δημόσια διαθέσιμο κώδικα εκμετάλλευσης που επηρεάζει πολλά μοντέλα συσκευών αποθήκευσης συνδεδεμένων με το δίκτυο D-Link στο τέλος της ζωής τους (NAS).

Παρακολούθηση ως CVE-2024-10914η ευπάθεια της έγχυσης εντολών εντοπίστηκε από τον ερευνητή ασφάλειας Netsecfish, ο οποίος μοιράστηκε επίσης λεπτομέρειες εκμετάλλευσης και είπε ότι οι μη επιβεβαιωμένοι εισβολείς μπορούσαν να το εκμεταλλευτούν για να εισάγουν αυθαίρετες εντολές φλοιού στέλνοντας κακόβουλα αιτήματα HTTP GET σε ευάλωτες συσκευές NAS που εκτίθενται στο διαδίκτυο.

Η λίστα μοντέλων NAS συσκευών που επηρεάζονται περιλαμβάνει DNS-320 Έκδοση 1.00, DNS-320LW Έκδοση 1.01.0914.2012, DNS-325 Έκδοση 1.01, Έκδοση 1.02 και DNS-340L Έκδοση 1.08.

Οι επιθέσεις ξεκίνησαν αφότου η D-Link δήλωσε την Παρασκευή ότι δεν θα διορθώσει το ελάττωμα ασφαλείας επειδή επηρεάζει μόνο τα μοντέλα NAS στο τέλος της ζωής τους, προειδοποιώντας τους πελάτες να αποσύρουν τις επηρεαζόμενες συσκευές ή να τις αναβαθμίσουν σε νεότερα προϊόντα.

“Τα προϊόντα που έχουν φτάσει στο EOL/EOS τους δεν λαμβάνουν πλέον ενημερώσεις λογισμικού συσκευών και ενημερώσεις κώδικα ασφαλείας και δεν υποστηρίζονται πλέον από την D-Link. Η D-Link US συνιστά την απόσυρση και την αντικατάσταση συσκευών D-Link που έχουν φτάσει στο EOL/EOS”, η εταιρεία είπε.

Ωστόσο, όπως ανακάλυψε η υπηρεσία παρακολούθησης απειλών Shadowserver, οι παράγοντες των απειλών το έλαβαν υπόψη και άρχισαν να στοχεύουν την ευπάθεια τη Δευτέρα.

“Παρατηρήσαμε προσπάθειες εκμετάλλευσης της εντολής D-Link NAS CVE-2024-2024-10914 /cgi-bin/account_mgr.cgi από τις 12 Νοεμβρίου. Αυτό το vuln επηρεάζει τις συσκευές EOL/EOS, οι οποίες θα πρέπει να αφαιρεθούν από το Διαδίκτυο”, Shadowserver προειδοποίησε.

​Ενώ ο Shadowserver είπε ότι εντόπισε 1.100 συσκευές D-Link NAS που είχαν εκτεθεί στο Διαδίκτυο, η Netsecfish είπε ότι βρήκε πάνω από 41.000 μοναδικές διευθύνσεις IP στο διαδίκτυο που χρησιμοποιούνται από ευάλωτες συσκευές σε μια σάρωση Διαδικτύου με την πλατφόρμα FOFA του Huashun Xin’an.

Τον Απρίλιο, η Netsecfish ανέφερε επίσης ένα σκληρό κωδικοποιημένο backdoor και ένα αυθαίρετο ελάττωμα έγχυσης εντολών—που επηρεάζει σχεδόν τα ίδια μοντέλα D-Link NAS και συλλογικά παρακολουθούνται ως CVE-2024-3273—τα οποία μπορούν να συνδεθούν για να εκτελούν εντολές στη συσκευή εξ αποστάσεως.

Όπως είπε εκπρόσωπος της D-Link στο BleepingComputer τον Απρίλιο, οι επηρεαζόμενες συσκευές NAS δεν διαθέτουν δυνατότητες αυτόματης ενημέρωσης ή δυνατότητες προσέγγισης πελατών για να προωθήσουν ειδοποιήσεις. Ως εκ τούτου, όσοι χρησιμοποιούν συσκευές στο τέλος της ζωής τους συνιστάται να περιορίσουν την πρόσβαση από το Διαδίκτυο το συντομότερο δυνατό, καθώς έχουν στοχοποιηθεί σε επιθέσεις ransomware στο παρελθόν.

«Συνήθως, η D-Link δεν μπορεί να επιλύσει ζητήματα συσκευών ή υλικολογισμικού για αυτά τα προϊόντα, καθώς κάθε ανάπτυξη και υποστήριξη πελατών έχει σταματήσει», σημείωσε η εταιρεία την Παρασκευή.

“Η D-Link συνιστά ανεπιφύλακτα την απόσυρση αυτού του προϊόντος και προειδοποιεί ότι η περαιτέρω χρήση μπορεί να είναι επικίνδυνη για τις συνδεδεμένες συσκευές. Εάν οι καταναλωτές των ΗΠΑ συνεχίσουν να χρησιμοποιούν αυτές τις συσκευές ενάντια στη σύσταση της D-Link, βεβαιωθείτε ότι η συσκευή διαθέτει το πιο πρόσφατο υλικολογισμικό.”