i.a. divulgação check point

D-Link não consertará falha crítica de NAS

Da Redação
09/11/2024

Mais de 60.000 dispositivos de armazenamento D-Link conectados à rede (NAS), que já atingiram o fim de sua vida útil (EoL), estão expostos a uma grave vulnerabilidade de injeção de comando, identificada como CVE-2024-10914. Essa falha tem uma pontuação crítica de 9,2 em uma escala de 10, destacando seu alto risco. A vulnerabilidade reside no comando ‘cgi_user_add’ e permite que um invasor injete comandos de shell arbitrários através de requisições HTTP, colocando dados sensíveis em risco.

Leia também
Acesso root a sistema operacional via WiFi
Interpol fecha 22.000 IPs do cibercrime

Segundo o pesquisador de segurança da Netsecfish, a exploração desse problema ocorre com o envio de uma solicitação HTTP GET modificada, contendo o comando shell injetado. Modelos populares de NAS da D-Link, como DNS-320 e DNS-340L, estão entre os mais afetados, e uma busca na plataforma FOFA revelou que 61.147 dispositivos vulneráveis estão conectados a 41.097 IPs únicos.

A D-Link confirmou em um boletim de segurança que não lançará uma correção para a CVE-2024-10914, recomendando aos usuários a desinstalação dos dispositivos afetados. Para aqueles que não conseguem desativar o produto de imediato, a empresa sugere que eles sejam isolados da internet pública e colocados sob controles de acesso mais rigorosos para mitigar o risco de ataques.

Em uma situação semelhante, o mesmo pesquisador identificou em abril de 2024 uma falha de injeção de comando e backdoor em outros modelos de NAS D-Link. Na ocasião, a busca na internet pela FOFA detectou 92.589 dispositivos vulneráveis, reforçando o alerta sobre os riscos de manter equipamentos sem suporte de segurança ativo. A D-Link já anunciou que não fabrica mais esses dispositivos, reforçando o status de EoL para os modelos afetados.

Compartilhar: