92 000 appareils NAS D-Link sont vulnérables aux attaques par malware

Les hackers scannent et exploitent activement une vulnérabilité non corrigée découverte dans quatre anciens appareils de stockage en réseau D-Link (NAS) qui leur permet d’exécuter des commandes arbitraires sur l’appareil affecté et d’accéder à des informations sensibles.

D-Link a confirmé le défaut dans un avis la semaine dernière. Elle a exhorté ses utilisateurs à retirer et remplacer ses produits en fin de support (« EOS ») / en fin de vie (« EOL »), car elle ne prévoit pas d’envoyer un correctif. En d’autres termes, les utilisateurs doivent acheter l’un des nouveaux systèmes NAS de D-Link.

La vulnérabilité affecte environ 92 000 appareils D-Link, qui incluent les modèles : DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013, DNS-325 Version 1.01, DNS-327L Version 1.09, Version 1.00.0409.2013, et DNS-340L Version 1.08.

Suivie sous les identifiants CVE-2024-3272 (score CVSS : 9.8) et CVE-2024-3273 (score CVSS : 7.3), la première vulnérabilité implique un compte « backdoor » codé en dur qui n’a pas de mot de passe, et la seconde est une vulnérabilité d’injection de commande qui permet d’exécuter n’importe quelle commande sur l’appareil en effectuant une requête HTTP GET.

« La vulnérabilité réside dans l’URI nas_sharing.cgi, qui est vulnérable en raison de deux problèmes principaux : une backdoor activée par des identifiants codés en dur et une vulnérabilité d’injection de commande via le paramètre système », a déclaré le chercheur en sécurité, qui a découvert et divulgué publiquement la vulnérabilité le 26 mars et se fait appeler « netsecfish ».

« Cette exploitation pourrait conduire à une exécution de commandes arbitraires sur les appareils NAS D-Link affectés, accordant aux attaquants un accès potentiel à des informations sensibles, à la modification de la configuration du système ou à un déni de service, en spécifiant une commande, affectant plus de 92 000 appareils sur Internet. »

La société de renseignement sur les menaces GreyNoise a déclaré avoir remarqué que des attaquants tentaient d’exploiter les vulnérabilités pour déployer une variante du malware Mirai (skid.x86), qui peut commander à distance les appareils D-Link. Les variantes de Mirai sont généralement conçues pour ajouter des appareils infectés à un botnet pour être utilisés dans des attaques par déni de service distribué (DDoS) à grande échelle.

De plus, la ShadowServer Foundation, une organisation de recherche sur les menaces à but non lucratif, a également détecté des tentatives d’exploitation active de la vulnérabilité dans la nature, constatant « des scans/exploits provenant de plusieurs IPs ».

« Nous avons commencé à voir des scans/exploits provenant de plusieurs IPs pour CVE-2024-3273 (vulnérabilité dans les appareils de stockage en réseau D-Link en fin de vie). Cela implique une chaîne d’une backdoor et d’une injection de commande pour atteindre l’exécution de code à distance (RCE) », a-t-elle déclaré dans un post sur X (anciennement Twitter).

En l’absence de correctif, la Shadowserver Foundation recommande aux utilisateurs de soit mettre leur appareil hors ligne, soit de le remplacer, ou au moins de protéger leur accès à distance par un pare-feu pour bloquer les menaces potentielles.

La vulnérabilité des appareils NAS D-Link représente une menace significative pour les utilisateurs et souligne la nécessité de rester vigilant en matière de cybersécurité, ainsi que l’importance des mises à jour régulières en cybersécurité. Pour prévenir l’exploitation par des acteurs malveillants, les utilisateurs peuvent suivre les mesures de précaution recommandées pour protéger leurs appareils et leurs données.