Cyberbezpieczeństwo
RCE w D-Link NAS. Poprawek nie będzie
Podatności wykrywane w niewspieranym sprzęcie są szczególnie groźne, ponieważ producent nie będzie publikował stosownych poprawek bezpieczeństwa. Właśnie w takich urządzeniach od D-Link znaleziono możliwość zdalnego wykonania kodu (RCE, ang. Remote Code Execution). Wiadomo również, że nie zostaną opublikowane łatki. Co należy zrobić?
D-Link poinformował w komunikacie o wykryciu dwóch podatności. Nadano im identyfikatory CVE-2024-3272 i CVE-2024-3273. Ich CVSS Score to 9.8/10. Podatności dotyczą 20 różnych modeli D-Link NAS. Urządzenia należą do kategorii End-of-life (EOL), czyli sprzętu którego wsparcie techniczne zostało zakończone.
Jedyny sposób na załatanie podatności to wymiana sprzętu.
Czytaj też
Jakiego sprzętu dotyczą podatności?
Luki bezpieczeństwa dotyczą 20 modeli serwerów NAS (ang. Network Attached Storage). Ich wsparcie techniczne zostało zakończone kilka-kilkanaście lat temu. Rekordowy NAS nie jest wspierany od 15 lat.
D-Link wylistował wszystkie modele, które są podatne na RCE. Jedyną rekomendacją jest wymiana urządzenia na wspierane przez producenta.
Czytaj też
Jak duża jest skala podatności?
W raporcie netsecfish wskazano, że z poziomu internetu widoczne jest ponad 92 tys. podatnych urządzeń. Censys twierdzi, że podatne jest 6 tysięcy urządzeń.
„Tak naprawdę nie udało się wykryć 92,289 ani 55,138 (podatnych - przyp. red.) urządzeń NAS firmy D-Link, jak sugeruje zrzut ekranu. Nasze wyniki pokazują, że tylko 5916 hostów odpowiada wskaźnikom opublikowanym w CVE” - twierdzi Censys
Co ciekawe, podatność została opublikowana na GitHubie 26 marca br., lecz została publicznie zauważona dopiero 4 kwietnia.
Czytaj też
Publiczny exploit
Należy natychmiast zaprzestać korzystania z przestarzałego sprzętu, ponieważ netsecfish wraz z opisem podatności podał gotowe zapytanie do jej wykorzystania.
Wykorzystanie podatności może skończyć się poniesieniem konsekwencji prawnych. Stanowczo nie zachęcam do atakowania urządzeń. Należy jednak mieć świadomość, że atak na wspomniane NAS-y nie należy do skomplikowanych.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].