„D-Link“ nepataisys kritinės klaidos, turinčios įtakos 60 000 senesnių NAS įrenginių

Posted on by admin


Daugiau nei 60 000 „D-Link“ tinklo prijungtų saugojimo įrenginių, kurių eksploatavimo laikas baigėsi, yra pažeidžiami dėl komandų įpurškimo, naudojant viešai prieinamą išnaudojimą.

Trūkumas, stebimas kaip CVE-2024-10914, turi kritinį 9,2 sunkumo balą ir yra komandoje „cgi_user_add“, kur pavadinimo parametras yra nepakankamai išvalytas.

Neautentifikuotas užpuolikas gali juo pasinaudoti, kad įvesdamas savavališkas apvalkalo komandas, siųsdamas į įrenginius specialiai sukurtas HTTP GET užklausas.

Trūkumas turi įtakos keliems D-Link tinklo prijungtų atminties įrenginių (NAS) modeliams, kuriuos dažniausiai naudoja mažos įmonės:

  • DNS-320 1.00 versija

  • DNS-320LW 1.01.0914.2012 versija

  • DNS-325 1.01 versija, 1.02 versija

  • DNS-340L 1.08 versija

Techniniame rašte, kuriame pateikiama išsami informacija apie išnaudojimą, saugumo tyrinėtojas Netsecfish teigia, kad norint panaudoti pažeidžiamumą, reikia siųsti „sukurtą HTTP GET užklausą į NAS įrenginį, kurio pavadinimo parametre yra kenkėjiška įvestis“.

curl "http://(Target-IP)/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27" 

„Ši curl užklausa sukuria URL, kuris suaktyvina komandą cgi_user_add su pavadinimo parametru, kuris apima įterptą apvalkalo komandą“, – aiškina tyrėjas.

Netsecfish atlikta paieška FOFA platformoje davė 61 147 rezultatus 41 097 unikaliais D-Link įrenginių, pažeidžiamų CVE-2024-10914, IP adresais.

FOFA nuskaitymo rezultatai atviriems D-Link NAS įrenginiams
FOFA nuskaitymo rezultatai atviriems D-Link NAS įrenginiams
Šaltinis: Netsecfish

Šiandien paskelbtame saugos biuletenyje „D-Link“ patvirtino, kad CVE-2024-10914 pataisymas neatnešamas, o pardavėjas rekomenduoja vartotojams atsisakyti pažeidžiamų produktų.

Jei šiuo metu tai neįmanoma, vartotojai turėtų juos bent izoliuoti nuo viešojo interneto arba nustatyti jiems griežtesnes prieigos sąlygas.

Tas pats tyrėjas šių metų balandį aptiko savavališką komandų įpurškimą ir užkoduotą galinių durų trūkumą, pažymėtą kaip CVE-2024-3273, daugiausia paveikusį tuos pačius D-Link NAS modelius kaip ir naujausias trūkumas.

Tuomet FOFA interneto nuskaitymai davė 92 589 rezultatus.

Reaguodamas į tuometinę situaciją, „D-Link“ atstovas „BleepingComputer“ sakė, kad tinklo įmonė nebegamina NAS įrenginių, o paveikti produktai pasiekė EoL ir negaus saugos naujinimų.



Source link

Related Posts

„UnitedHealth“ dabar sako

  • admin
  • 26 sausio, 2025
  • 0

„UnitedHealth“ atskleidė, kad 190 milijonų amerikiečių buvo pavogti asmeninių ir sveikatos priežiūros duomenis „Change Healthcare Ransomware“ atakoje, beveik padvigubindami anksčiau atskleistą skaičių. Spalio mėn. „UnitedHealth“ […]

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Klaipedos miesto naujienos - Miesto naujienos - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Teniso treniruotės - Pranešimai spaudai - Kauno naujienos - Regionų naujienos - Palangos naujienos