Un defecto crítico en varios modelos de final de vida (EOL) de Enlace D Los dispositivos de almacenamiento conectado a la red (NAS) pueden permitir a los atacantes abrir una puerta trasera al dispositivo y obtener acceso a información confidencial, entre otras actividades nefastas.
Más de 92.000 dispositivos actualmente conectados a Internet se ven afectados por una falla rastreada como CVE-2024-3273 en dispositivos NAS D-Link, incluidos los modelos DNS-340L, DNS-320L, DNS-327L y DNS-325, según D-Link. Como resultado, la compañía está pidiendo a los clientes que desactiven todos y cada uno de los dispositivos afectados, que seguirán siendo vulnerables ya que los dispositivos ya no recibirán actualizaciones ni soporte del proveedor.
Un investigador que utiliza el nombre en línea “netsecfish” identificó la falla y lo detalló en GitHub y posteriormente informó a D-Link al respecto, que lanzó su propio aviso. El investigador también lanzó un exploit para la falla, en el que los atacantes ya están mostrando interés, según una publicación en X (anteriormente Twitter) de Shadowserver.
“Hemos comenzado a ver escaneos/exploits de múltiples IP para CVE-2024-3273”, según la publicación. “Esto implica encadenar una puerta trasera y una inyección de comandos para lograr RCE”.
Defectos en dispositivos NAS son negocio serioya que explotarlos tiene un gran potencial para afectar no solo al dispositivo en sí, sino también a innumerables dispositivos que se conectan a él, lo que representa una amenaza peligrosa que puede exponer a riesgos las redes empresariales.
Robo de datos, denegación de servicio y más
La vulnerabilidad existe en el script CGI nas_sharing.cgi, lo que conduce a una puerta trasera a través de la exposición del nombre de usuario y la contraseña, así como a la inyección de comandos a través del parámetro del sistema, explicó netsecfish.
“Una función desconocida del archivo /cgi-bin/nas_sharing.cgi del componente HTTP GET Request Handler es afectada por esta vulnerabilidad.” según el listado por la falla en la Base de Datos Nacional de Vulnerabilidad del Instituto Nacional de Estándares y Tecnología (NIST). “La manipulación del sistema de argumentos conduce a la inyección de comandos”.
Para ser más granular, en términos de exposición de nombre de usuario y contraseña, el problema radica en la solicitud, que “incluye parámetros para un nombre de usuario (usuario=messagebus) y un campo de contraseña vacío (passwd=)”, según netsecfish. “Esto indica una puerta trasera que permite el acceso no autorizado sin la autenticación adecuada”.
Para la inyección de comandos, los atacantes pueden explotar el parámetro “sistema” dentro de la solicitud, “que lleva un valor codificado en base64 que, cuando se decodifica, parece ser un comando”, según netsecfish.
Atacantes puede encadenar los dos problemas juntos para obtener la ejecución de comandos arbitrarios en los dispositivos NAS D-Link afectados, otorgando a los atacantes acceso potencial a información confidencial, alteración de la configuración del sistema o denegación de servicio.
El exploit de Netsecfish implica crear solicitudes HTTP maliciosas mediante la preparación de una solicitud HTTP GET –GET /cgi-bin/nas_sharing.cgi?user=messagebus&passwd=&cmd=15&system=
Reemplazar y retirar dispositivos D-Link vulnerables
A informe publicado el año pasado descubrió que las empresas de todos los sectores continúan dejar las plataformas de respaldo y almacenamiento sin seguridadpor lo que es crucial para ellos garantizar que los ciberdelincuentes no puedan explotar los vulnerables para ingresar a las redes corporativas.
Sin un parche próximo para CVE-2024-3273, el único remedio verdadero es no usar los dispositivos afectados en absoluto, por lo que cualquiera que tenga uno todavía conectado a una red debe retirar y reemplazar el producto inmediatamente, según D-Link. Puede encontrar una lista completa de dispositivos en el aviso de D-Link.
De hecho, la compañía se mantuvo firme en que no tiene planes de brindar soporte o actualizar los productos afectados según su estrategia típica de EOL del dispositivo. “Independientemente del tipo de producto o canal de ventas, la política general de D-Link, cuando los productos alcanzan EOS/EOL, ya no pueden ser compatibles y cesa todo el desarrollo de firmware para estos productos”, según D-Link.
Si los consumidores en los EE. UU. continúan usando el dispositivo en contra de la recomendación de la compañía, deben “asegurarse de que el dispositivo tenga el último firmware conocido”, que se puede ubicar en los enlaces del sitio web heredado incluidos en el aviso, según D-Link.
Cualquiera que quiera seguir usando el dispositivo también debe asegurarse de actualizar frecuentemente la contraseña única del dispositivo para acceder a su configuración web, así como habilitar el cifrado de Wi-Fi con una contraseña única.
Fuente Original darkreading
