92.000 Dispositivos D-Link NAS Estão Vulneráveis a Ataques de Malware

Hackers estão escaneando e explorando ativamente uma vulnerabilidade não corrigida descoberta em quatro dispositivos antigos de Armazenamento em Rede (NAS) da D-Link que permite a execução de comandos arbitrários no dispositivo afetado e o acesso a informações sensíveis.

A D-Link confirmou a falha em um aviso na semana passada. A empresa instou seus usuários a aposentarem e substituírem seus produtos com Fim de Suporte (“EOS”) / Fim de Vida (“EOL”), pois não planeja enviar um patch. Em outras palavras, os usuários precisam comprar um dos novos sistemas NAS da D-Link.

A vulnerabilidade afeta cerca de 92.000 dispositivos D-Link, que incluem os modelos: DNS-320L Versão 1.11, Versão 1.03.0904.2013, Versão 1.01.0702.2013, DNS-325 Versão 1.01, DNS-327L Versão 1.09, Versão 1.00.0409.2013, e DNS-340L Versão 1.08.

Rastreada como CVE-2024-3272 (pontuação CVSS: 9.8) e CVE-2024-3273 (pontuação CVSS: 7.3), a primeira falha envolve uma conta “backdoor” codificada que não possui senha, e a última é uma falha de injeção de comando que permite que qualquer comando seja executado no dispositivo ao realizar uma solicitação HTTP GET.

“A vulnerabilidade reside na URI nas_sharing.cgi, que é vulnerável devido a dois problemas principais: uma backdoor habilitada por credenciais codificadas e uma vulnerabilidade de injeção de comando via o parâmetro do sistema,” disse o pesquisador de segurança, que descobriu e divulgou publicamente a vulnerabilidade em 26 de março e se apresenta pelo nome “netsecfish”.

“Essa exploração poderia levar à execução de comandos arbitrários nos dispositivos D-Link NAS afetados, concedendo aos atacantes acesso potencial a informações sensíveis, alteração da configuração do sistema ou negação de serviço, especificando um comando, afetando mais de 92.000 dispositivos na internet.”

A empresa de inteligência de ameaças GreyNoise disse que notou atacantes tentando armar as falhas para implantar uma variante do malware Mirai (skid.x86), que pode comandar remotamente os dispositivos D-Link. As variantes do Mirai são normalmente projetadas para adicionar dispositivos infectados a uma botnet para uso em ataques de negação de serviço distribuídos em larga escala (DDoS).

Além disso, a ShadowServer Foundation, uma organização de pesquisa de ameaças sem fins lucrativos, também detectou tentativas de exploração ativa da vulnerabilidade no mundo real, vendo “escaneamentos/explorações de múltiplos IPs.”

“Começamos a ver escaneamentos/explorações de múltiplos IPs para CVE-2024-3273 (vulnerabilidade em dispositivos de Armazenamento em Rede D-Link com fim de vida). Isso envolve a combinação de uma backdoor e injeção de comando para alcançar RCE,” disse em uma postagem no X (anteriormente Twitter).

Na ausência de uma correção, a Shadowserver Foundation recomenda que os usuários coloquem seus dispositivos offline ou os substituam ou, pelo menos, tenham seu acesso remoto bloqueado por firewall para bloquear ameaças potenciais.

A vulnerabilidade nos dispositivos D-Link NAS representa uma ameaça significativa para os usuários e enfatiza a necessidade de permanecer vigilante em relação à cibersegurança, além de ressaltar a importância de atualizações regulares de cibersegurança. Para prevenir a exploração por atores maliciosos, os usuários podem seguir as medidas de precaução recomendadas para proteger seus dispositivos e dados.