92,000 Dispositivos NAS de D-Link Son Vulnerables a Ataques de Malware

Los hackers están escaneando y explotando activamente una vulnerabilidad no parcheada descubierta en cuatro dispositivos de Almacenamiento en Red (NAS) más antiguos de D-Link que les permite realizar una ejecución de comandos arbitrarios en el dispositivo afectado y acceder a información sensible.

D-Link confirmó el fallo en un aviso la semana pasada. Ha instado a sus usuarios a retirar y reemplazar sus productos al Final de Soporte (“EOS”) / Fin de Vida (“EOL”), ya que no planea enviar un parche. En otras palabras, los usuarios necesitan comprar uno de los sistemas NAS más nuevos de D-Link.

La vulnerabilidad afecta a alrededor de 92,000 dispositivos D-Link, que incluyen modelos: DNS-320L Versión 1.11, Versión 1.03.0904.2013, Versión 1.01.0702.2013, DNS-325 Versión 1.01, DNS-327L Versión 1.09, Versión 1.00.0409.2013, y DNS-340L Versión 1.08.

Rastreada como CVE-2024-3272 (puntuación CVSS: 9.8) y CVE-2024-3273 (puntuación CVSS: 7.3), la primera vulnerabilidad implica una cuenta de “puerta trasera” codificada que carece de contraseña, y la segunda es una vulnerabilidad de inyección de comandos que permite ejecutar cualquier comando en el dispositivo realizando una solicitud HTTP GET.

“La vulnerabilidad radica en la URI nas_sharing.cgi, que es vulnerable debido a dos problemas principales: una puerta trasera habilitada por credenciales codificadas y una vulnerabilidad de inyección de comandos a través del parámetro del sistema”, dijo el investigador de seguridad, que descubrió y divulgó públicamente la vulnerabilidad el 26 de marzo y se hace llamar “netsecfish”.

“Esta explotación podría llevar a la ejecución de comandos arbitrarios en los dispositivos NAS de D-Link afectados, otorgando a los atacantes acceso potencial a información sensible, alteración de la configuración del sistema o denegación de servicio, especificando un comando, afectando a más de 92,000 dispositivos en internet.”

La empresa de inteligencia de amenazas GreyNoise dijo que notó a los atacantes intentando armar las fallas para desplegar una variante del malware Mirai (skid.x86), que puede tomar el control remoto de los dispositivos D-Link. Las variantes de Mirai normalmente están diseñadas para agregar dispositivos infectados a una botnet para su uso en ataques de denegación de servicio distribuidos a gran escala (DDoS).

Además, la Fundación ShadowServer, una organización de investigación de amenazas sin fines de lucro, también ha detectado intentos de explotación activa de la vulnerabilidad en el mundo real, viendo “escaners/exploits de múltiples IPs.”

“Hemos comenzado a ver escaneos/exploits de múltiples IPs para CVE-2024-3273 (vulnerabilidad en dispositivos de Almacenamiento en Red D-Link al final de su vida útil). Esto implica la cadena de una puerta trasera y la inyección de comandos para lograr RCE,” dijo en una publicación en X (anteriormente Twitter).

En ausencia de una solución, la Fundación Shadowserver recomienda a los usuarios que desconecten su dispositivo de internet o lo reemplacen o al menos que tengan su acceso remoto protegido por un firewall para bloquear amenazas potenciales.

La vulnerabilidad en los dispositivos NAS de D-Link representa una amenaza significativa para los usuarios y enfatiza la necesidad de mantenerse alerta sobre la ciberseguridad, así como subraya la importancia de actualizaciones regulares de ciberseguridad. Para prevenir la explotación por actores maliciosos, los usuarios pueden seguir las medidas de precaución recomendadas para salvaguardar sus dispositivos y proteger sus datos.