RCE w D-Link NAS. Poprawek nie będzie

D-Link poinformował w komunikacie o wykryciu dwóch podatności. Nadano im identyfikatory CVE-2024-3272 i CVE-2024-3273. Ich CVSS Score to 9.8/10. Podatności dotyczą 20 różnych modeli D-Link NAS. Urządzenia należą do kategorii End-of-life (EOL), czyli sprzętu którego wsparcie techniczne zostało zakończone.

Jedyny sposób na załatanie podatności to wymiana sprzętu.

Jakiego sprzętu dotyczą podatności?

Luki bezpieczeństwa dotyczą 20 modeli serwerów NAS (ang. Network Attached Storage). Ich wsparcie techniczne zostało zakończone kilka-kilkanaście lat temu. Rekordowy NAS nie jest wspierany od 15 lat.

D-Link wylistował wszystkie modele, które są podatne na RCE. Jedyną rekomendacją jest wymiana urządzenia na wspierane przez producenta.

Jak duża jest skala podatności?

W raporcie netsecfish wskazano, że z poziomu internetu widoczne jest ponad 92 tys. podatnych urządzeń. Censys twierdzi, że podatne jest 6 tysięcy urządzeń.

„Tak naprawdę nie udało się wykryć 92,289 ani 55,138 (podatnych - przyp. red.) urządzeń NAS firmy D-Link, jak sugeruje zrzut ekranu. Nasze wyniki pokazują, że tylko 5916 hostów odpowiada wskaźnikom opublikowanym w CVE” - twierdzi Censys

Co ciekawe, podatność została opublikowana na GitHubie 26 marca br., lecz została publicznie zauważona dopiero 4 kwietnia.

Publiczny exploit

Należy natychmiast zaprzestać korzystania z przestarzałego sprzętu, ponieważ netsecfish wraz z opisem podatności podał gotowe zapytanie do jej wykorzystania.

Wykorzystanie podatności może skończyć się poniesieniem konsekwencji prawnych. Stanowczo nie zachęcam do atakowania urządzeń. Należy jednak mieć świadomość, że atak na wspomniane NAS-y nie należy do skomplikowanych.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].