92.000 D-Link NAS-Geräte sind anfällig für Malware-Angriffe

Hacker scannen und nutzen aktiv eine nicht gepatchte Schwachstelle aus, die in vier älteren D-Link Network Area Storage (NAS)-Geräten entdeckt wurde und es ihnen ermöglicht, eine beliebige Befehlsausführung auf dem betroffenen Gerät durchzuführen und auf sensible Informationen zuzugreifen.

D-Link bestätigte den Fehler in einem Hinweis letzte Woche. Das Unternehmen hat seine Nutzer aufgefordert, seine Produkte am Ende des Supports („EOS“) / am Ende der Lebensdauer („EOL“) abzulehnen und zu ersetzen, da es nicht plant, einen Patch herauszugeben. Mit anderen Worten, die Nutzer müssen eines der neueren NAS-Systeme von D-Link kaufen.

Die Schwachstelle betrifft rund 92.000 D-Link-Geräte, darunter Modelle: DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013, DNS-325 Version 1.01, DNS-327L Version 1.09, Version 1.00.0409.2013 und DNS-340L Version 1.08.

Verfolgt als CVE-2024-3272 (CVSS-Score: 9.8) und CVE-2024-3273 (CVSS-Score: 7.3), beinhaltet der erste Fehler ein hartcodiertes „Hintertür“-Konto, das kein Passwort hat, und der letztere ist ein Befehlseinschleusungsfehler, der es ermöglicht, jeden Befehl auf dem Gerät durchzuführen, indem eine HTTP GET-Anfrage ausgeführt wird.

„Die Schwachstelle liegt in der nas_sharing.cgi-URI, die aufgrund von zwei Hauptproblemen anfällig ist: einer Hintertür, die durch hartcodierte Anmeldeinformationen aktiviert wird, und einer Befehlseinschleusungsschwachstelle über den Systemparameter“, sagte der Sicherheitsforscher, der die Schwachstelle am 26. März entdeckte und öffentlich bekannt gab und sich „netsecfish“ nennt.

„Diese Ausnutzung könnte zu einer beliebigen Befehlsausführung auf den betroffenen D-Link NAS-Geräten führen, was Angreifern potenziellen Zugriff auf sensible Informationen, Änderungen der Systemkonfiguration oder Denial-of-Service ermöglichen könnte, indem ein Befehl angegeben wird, der über 92.000 Geräte im Internet betrifft.“

Das Bedrohungsintelligenzunternehmen GreyNoise sagte, es habe festgestellt, dass Angreifer versuchten, die Schwachstellen zu nutzen, um eine Variante der Mirai-Malware (skid.x86) zu verbreiten, die die D-Link-Geräte aus der Ferne steuern kann. Mirai-Varianten sind normalerweise darauf ausgelegt, infizierte Geräte zu einem Botnet hinzuzufügen, um sie für groß angelegte verteilte Denial-of-Service (DDoS)-Angriffe zu verwenden.

Darüber hinaus hat die ShadowServer Foundation, eine gemeinnützige Bedrohungsforschungsorganisation, ebenfalls aktive Ausnutzungsversuche der Schwachstelle in der Wildnis festgestellt, wobei sie „Scans/Ausnutzungen von mehreren IPs“ beobachtet hat.

„Wir haben begonnen, Scans/Ausnutzungen von mehreren IPs für CVE-2024-3273 (Schwachstelle in D-Link Network Area Storage-Geräten am Ende der Lebensdauer) zu sehen. Dies beinhaltet das Verketten einer Hintertür und einer Befehlseinschleusung, um RCE zu erreichen“, sagte sie in einem Beitrag auf X (ehemals Twitter).

In Ermangelung eines Fixes empfiehlt die Shadowserver Foundation den Nutzern, entweder ihr Gerät offline zu nehmen oder es zu ersetzen oder zumindest ihren Fernzugriff durch eine Firewall zu blockieren, um potenzielle Bedrohungen zu verhindern.

Die Schwachstelle in D-Link NAS-Geräten stellt eine erhebliche Bedrohung für die Nutzer dar und betont die Notwendigkeit, in Bezug auf Cybersicherheit wachsam zu bleiben, sowie die Bedeutung regelmäßiger Cybersicherheitsupdates. Um eine Ausnutzung durch böswillige Akteure zu verhindern, können die Nutzer die empfohlenen Vorsichtsmaßnahmen befolgen, um ihre Geräte zu schützen und ihre Daten zu sichern.