92.000 dispositivi D-Link NAS sono vulnerabili ad attacchi malware

Gli hacker stanno scansionando e sfruttando attivamente una vulnerabilità non corretta scoperta in quattro vecchi dispositivi D-Link Network Area Storage (NAS) che consente loro di eseguire un comando arbitrario sul dispositivo interessato e accedere a informazioni sensibili.

D-Link ha confermato il difetto in un avviso la settimana scorsa. Ha esortato i suoi utenti a ritirare e sostituire i suoi prodotti End of Support (“EOS”) / End of Life (“EOL”), poiché non prevede di inviare una patch. In altre parole, gli utenti devono acquistare uno dei nuovi sistemi NAS di D-Link.

La vulnerabilità interessa circa 92.000 dispositivi D-Link, che includono i modelli: DNS-320L Versione 1.11, Versione 1.03.0904.2013, Versione 1.01.0702.2013, DNS-325 Versione 1.01, DNS-327L Versione 1.09, Versione 1.00.0409.2013, e DNS-340L Versione 1.08.

Tracciata come CVE-2024-3272 (punteggio CVSS: 9.8) e CVE-2024-3273 (punteggio CVSS: 7.3), la prima vulnerabilità coinvolge un account “backdoor” hard-coded che manca di password, e la seconda è una vulnerabilità di iniezione di comandi che consente di eseguire qualsiasi comando sul dispositivo effettuando una richiesta HTTP GET.

“La vulnerabilità risiede nell’URI nas_sharing.cgi, che è vulnerabile a causa di due problemi principali: una backdoor abilitata da credenziali hard-coded e una vulnerabilità di iniezione di comandi tramite il parametro di sistema,” ha dichiarato il ricercatore di sicurezza, che ha scoperto e divulgato pubblicamente la vulnerabilità il 26 marzo e si fa chiamare “netsecfish”.

“Questo sfruttamento potrebbe portare all’esecuzione di comandi arbitrari sui dispositivi D-Link NAS interessati, concedendo agli attaccanti potenziale accesso a informazioni sensibili, alterazione della configurazione del sistema o denial of service, specificando un comando, interessando oltre 92.000 dispositivi su internet.”

La società di intelligence sulle minacce GreyNoise ha dichiarato di aver notato attaccanti che tentano di armare le vulnerabilità per distribuire una variante del malware Mirai (skid.x86), che può comandare da remoto i dispositivi D-Link. Le varianti di Mirai sono normalmente progettate per aggiungere dispositivi infetti a un botnet per l’uso in attacchi di denial-of-service distribuiti su larga scala (DDoS).

Inoltre, la ShadowServer Foundation, un’organizzazione di ricerca sulle minacce senza scopo di lucro, ha anche rilevato tentativi di sfruttamento attivo della vulnerabilità nel mondo reale, vedendo “scansioni/sfruttamenti da più IP.”

“Abbiamo iniziato a vedere scansioni/sfruttamenti da più IP per CVE-2024-3273 (vulnerabilità nei dispositivi D-Link Network Area Storage di fine vita). Questo comporta la concatenazione di una backdoor e di un’iniezione di comandi per ottenere RCE,” ha dichiarato in un post su X (precedentemente Twitter).

In assenza di una soluzione, la Shadowserver Foundation raccomanda agli utenti di disconnettere il proprio dispositivo o sostituirlo o almeno di avere il proprio accesso remoto protetto da un firewall per bloccare potenziali minacce.

La vulnerabilità nei dispositivi D-Link NAS rappresenta una minaccia significativa per gli utenti e sottolinea la necessità di rimanere vigili riguardo alla cybersecurity, oltre a evidenziare l’importanza di aggiornamenti regolari sulla cybersecurity. Per prevenire sfruttamenti da parte di attori malevoli, gli utenti possono seguire le misure precauzionali raccomandate per proteggere i propri dispositivi e i propri dati.