D-Link не будет исправлять критическую уязвимость, которая затрагивает более 60 тысяч старых сетевых устройств хранения данных. Она позволяет внедрять команды с помощью общедоступного эксплойта.
Уязвимость CVE-2024-10914 получила критическую оценку серьёзности 9,2 и присутствует в команде «cgi_user_add», где параметр имени недостаточно очищен.
Неаутентифицированный злоумышленник может использовать её для внедрения произвольных команд оболочки, отправляя устройствам специально созданные запросы HTTP GET.
Уязвимость затрагивает несколько моделей NAS, которые обычно используются малыми предприятиями, в том числе DNS-320 версии 1.00, DNS-320LW версии 1.01.0914.2012, DNS-325 версий 1.01 и 1.02, а также DNS-340L версии 1.08.
В техническом описании, где приводятся подробности об эксплойте, исследователь безопасности Netsecfish говорит, что для использования уязвимости требуется отправить «созданный HTTP-запрос GET на устройство NAS с вредоносным вводом в параметре имени». curl "http://[Target-IP]/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27"
«Этот запрос curl создает URL-адрес, который запускает команду cgi_user_add с параметром имени, включающий внедрённую команду оболочки», — объясняет исследователь. Поиск, который Netsecfish провел на платформе FOFA, вернул 61 147 результатов по 41 097 уникальным IP-адресам для устройств D-Link, уязвимых к CVE-2024-10914.
D-Link подтвердила, что исправление для CVE-2024-10914 не будет выпущено, а производитель рекомендует пользователям отказаться от уязвимых продуктов. Тем, кто не может оперативно перейти на новые NAS, нужно по крайней мере изолировать их от публичного Интернета или установить для них более строгие условия доступа.
Тот же исследователь обнаружил в апреле этого года инъекцию команды и жёстко запрограммированную уязвимость бэкдора, отслеживаемую как CVE-2024-3273, которая в основном затрагивала те же модели NAS D-Link, что и последняя уязвимость. Тогда интернет-сканирование FOFA дало 92 589 результатов.
Тогда представитель D-Link сообщил, что затронутые продукты уже не получают обновления безопасности.
В сентябре D-Link также предупредила, что четыре уязвимости удалённого выполнения кода (RCE) во всех версиях оборудования и прошивки маршрутизатора DIR-846W не будут исправлены, поскольку эти продукты больше не поддерживаются. Все они критические и не требуют аутентификации.
Источник новости: habr.com
