Более 60 000 устройств хранения данных от компании D-Link, которые достигли конца своего жизненного цикла (EoL), оказались уязвимыми из-за недостатка безопасности типа Command Injection. Уязвимость, обозначенная как CVE-2024-10914,имеет критическую оценку в 9.2 балла по шкале CVSS и связана с недостаточной очисткой параметра имени в команде “cgi_user_add”.
Неавторизованный злоумышленник может использовать эту уязвимость для выполнения произвольных команд, отправляя специально сформированные HTTP-запросы к устройствам. Уязвимость затрагивает несколько моделей NAS от D-Link, популярных среди малого бизнеса: DNS-320 (версия 1.00), DNS-320LW (версия 1.01.0914.2012), DNS-325 (версии 1.01 и 1.02) и DNS-340L (версия 1.08).
Исследователь по кибербезопасности из Netsecfish опубликовалподробности о том, как использовать данную уязвимость. Для этого необходимо отправить на устройство NAS особый HTTP-запрос с внедрением вредоносных команд в параметр имени. Пример команды cURL, демонстрирующий процесс эксплуатации, также предоставлен исследователем.
В ходе своего анализа, Netsecfish обнаружил более 61 000 уязвимых устройств D-Link на 41 097 уникальных IP-адресах. В результате, огромный массив данных на всех этих устройствах оказался под угрозой из-за наличия публичного доступа.
В недавнем бюллетене безопасности компания D-Link подтвердила, что исправление для CVE-2024-10914 не планируется, и рекомендовала пользователям либо вывести устройства из эксплуатации, либо ограничить их доступность из интернета.
В апреле этого года тот же исследователь выявил похожую уязвимость – CVE-2024-3273, связанную с Command Injection и встроенным бэкдором, затрагивающую те же модели NAS от D-Link. Тогда результаты онлайн-сканирования показывали более 92 000 уязвимых устройств. D-Link ранее подтвердила, что прекратила выпуск NAS-устройств и не будет обеспечивать их дальнейшую поддержку.