Bir tehdit araştırmacısı, yeni bir rasgele komut enjeksiyonu ve birden çok ömürlü D-Link Ağı Bağlı Depolama (NAS) aygıt modellerinde sabit kodlu arka kapı kusurunu açıkladı.
'NetSecfish' kusurunu keşfeden araştırmacı, sorunun '/cgi-bin/nas_sharing.cgi' komut dosyasında bulunduğunu açıklıyor ve HTTP GET isteği işleyici bileşenini etkiliyor.
CVE-2024-3273 olarak izlenen kusura katkıda bulunan iki ana sorun, sabit kodlanmış bir hesap (kullanıcı adı: "MessageBus" ve boş şifre) ve "Sistem" parametresi aracılığıyla bir komut enjeksiyon sorunu aracılığıyla kolaylaştırılan bir arka kapıdır.
Birlikte zincirlendiğinde, herhangi bir saldırgan cihazdaki komutları uzaktan yürütebilir.
Komut enjeksiyon kusuru, bir HTTP GET isteği aracılığıyla "Sistem" parametresine Base64 kodlu bir komut eklemekten kaynaklanır ve daha sonra yürütülür.
Araştırmacı, "Bu güvenlik açığının başarılı bir şekilde kullanılması, bir saldırganın sistemde keyfi komutlar yürütmesine izin verebilir, bu da potansiyel olarak hassas bilgilere yetkisiz erişime, sistem yapılandırmalarının değiştirilmesine veya hizmet koşullarının reddedilmesine yol açabilir."
CVE-2024-3273'ten etkilenen cihaz modelleri:
Netsecfish, ağ taramalarının çevrimiçi olarak maruz kalan ve bu kusurlar aracılığıyla saldırılara duyarlı 92.000'den fazla savunmasız D-Link NAS cihazını gösterdiğini söylüyor.
D-Link ile kusur ve bir yama yayınlanıp serbest bırakılmayacağı konusunda temasa geçtikten sonra, satıcı bize bu NAS cihazlarının yaşamın sonuna (EOL) ulaştığını ve artık desteklenmediğini söyledi.
Sözcü, "Tüm D-Link Network ekli depolama, uzun yıllardır yaşamın sonu ve hizmet yaşamı olmuştur [ve] bu ürünlerle ilişkili kaynaklar gelişimlerini durdurdu ve artık desteklenmiyor."
"D-Link, bu ürünleri emekliye ayırmayı ve bunların ürün yazılımı güncellemeleri alan ürünlerle değiştirilmesini önerir."
Sözcü ayrıca BleepingComputer'a, etkilenen cihazların mevcut modeller gibi bildirimler sunmak için otomatik çevrimiçi güncelleme özelliklerine veya müşteri erişim özelliklerine sahip olmadığını söyledi.
Bu nedenle, satıcı dün yayınlanan bir güvenlik bülteniyle sınırlıydı ve kusur ve derhal emekli olma veya değiştirme ihtiyacı hakkında farkındalığı artırmak için.
D-Link, sahiplerin en son güvenlik ve ürün yazılımı güncellemelerini bulmak için arşivlerde gezinebilecekleri eski cihazlar için özel bir destek sayfası oluşturdu.
Eski donanımı kullanmakta ısrar edenler, CVE-2024-3273 gibi yeni keşfedilen sorunları ele almasa bile, en azından en son güncellemeleri uygulamalıdır.
Ayrıca, NAS cihazları asla veri çalmayı veya fidye yazılımı saldırılarında şifrelemeyi hedefledikleri için asla internete maruz kalmamalıdır.
QNAP, NAS cihazlarındaki kritik Auth Bypass kusurunu uyarıyor
Fortinet, yeni Fortisiem RCE Hatalarını Kafa Kafası Bilgilendirme konusunda uyarıyor
Yeni Ivanti RCE Kususu, 16.000 açıkta kalan VPN ağ geçitlerini etkileyebilir
Bilgisayar korsanları tuğlalarda kritik RCE kusurundan yararlanıyor WordPress site Builder
Exploit kodu ortaya çıktıkça şimdi saldırı altındaki kritik hatayı ek screencon
Kaynak: Bleeping Computer