92,000 устройств D-Link NAS уязвимы к атакам вредоносного ПО

Хакеры сканируют и активно используют неустраненную уязвимость, обнаруженную в четырех старых устройствах D-Link Network Area Storage (NAS), которая позволяет им выполнять произвольные команды на затронутом устройстве и получать доступ к конфиденциальной информации.

D-Link подтвердила наличие недостатка в уведомлении на прошлой неделе. Компания призвала своих пользователей отказаться от использования и заменить свои продукты, находящиеся на этапе окончания поддержки (“EOS”) / окончания срока службы (“EOL”), так как не планирует выпускать патч. Другими словами, пользователям необходимо приобрести одну из новых систем NAS от D-Link.

Уязвимость затрагивает около 92,000 устройств D-Link, включая модели: DNS-320L Версия 1.11, Версия 1.03.0904.2013, Версия 1.01.0702.2013, DNS-325 Версия 1.01, DNS-327L Версия 1.09, Версия 1.00.0409.2013 и DNS-340L Версия 1.08.

Отслеживаемая как CVE-2024-3272 (оценка CVSS: 9.8) и CVE-2024-3273 (оценка CVSS: 7.3), первая уязвимость связана с жестко закодированной учетной записью “backdoor”, которая не имеет пароля, а вторая — с уязвимостью инъекции команд, которая позволяет выполнять любую команду на устройстве, отправляя HTTP GET запрос.

“Уязвимость заключается в URI nas_sharing.cgi, который уязвим из-за двух основных проблем: backdoor, активируемого жестко закодированными учетными данными, и уязвимости инъекции команд через параметр системы,” сказал исследователь безопасности, который обнаружил и публично раскрыл уязвимость 26 марта и использует псевдоним “netsecfish”.

“Эта эксплуатация может привести к произвольному выполнению команд на затронутых устройствах D-Link NAS, предоставляя злоумышленникам потенциальный доступ к конфиденциальной информации, изменению конфигурации системы или отказу в обслуживании, указывая команду, затрагивающую более 92,000 устройств в интернете.”

Компания по анализу угроз GreyNoise сообщила, что заметила, как злоумышленники пытаются использовать уязвимости для развертывания варианта вредоносного ПО Mirai (skid.x86), который может удаленно управлять устройствами D-Link. Варианты Mirai обычно предназначены для добавления зараженных устройств в ботнет для использования в масштабных распределенных атаках отказа в обслуживании (DDoS).

Кроме того, Фонд ShadowServer, некоммерческая организация по исследованию угроз, также обнаружил активные попытки эксплуатации уязвимости в дикой природе, отметив “сканирование/эксплуатацию с нескольких IP-адресов.”

“Мы начали замечать сканирование/эксплуатацию с нескольких IP-адресов для CVE-2024-3273 (уязвимость в устройствах D-Link Network Area Storage, находящихся на этапе окончания срока службы). Это включает в себя цепочку backdoor и инъекцию команд для достижения RCE,” говорится в сообщении в X (ранее Twitter).

В отсутствие исправления Фонд Shadowserver рекомендует пользователям либо отключить свои устройства от сети, либо заменить их, либо хотя бы заблокировать удаленный доступ с помощью межсетевого экрана, чтобы предотвратить потенциальные угрозы.

Уязвимость в устройствах D-Link NAS представляет собой значительную угрозу для пользователей и подчеркивает необходимость оставаться бдительными в вопросах кибербезопасности, а также подчеркивает важность регулярных обновлений кибербезопасности. Чтобы предотвратить эксплуатацию со стороны злонамеренных акторов, пользователи могут следовать рекомендованным мерам предосторожности для защиты своих устройств и данных.