Cyble Global Sensor Intelligence observó explotación activa de la vulnerabilidad crítica de D-Link
Recientemente, la comunidad de seguridad ha expresado su preocupación con respecto a las vulnerabilidades encontradas en los dispositivos de almacenamiento conectado a la red (NAS) D-Link. Las vulnerabilidades, identificadas como CVE-2024-3272 y CVE-2024-3273, fueron reveladas inicialmente por un individuo que utiliza el alias “netsecfish” en GitHub el 26 de marzo de 2024. D-Link reveló lo mismo el 4 de abril de 2024.
La publicación de GitHub del 26 de marzo destacó que la solicitud HTTP maliciosa tiene como objetivo explotar el punto final vulnerable de los dispositivos NAS D-Link afectados, generando así un interés significativo dentro de la comunidad de seguridad cibernética.
La gravedad del problema se puede entender por el hecho de que la red Cyble Global Sensor Intelligence (CGSI) detectó intentos de explotación en curso de estas vulnerabilidades desde el mismo 9 de abril. Esto también indica la rápida utilización como arma de exploits disponibles públicamente por parte de actores de amenazas (TA) dirigidos a NAS D-Link vulnerables expuestos a Internet. La siguiente figura muestra los intentos de explotación observados en una de las instancias de CGSI.
Cifra 1 – Intento de explotación de vulnerabilidades del NAS D-Link observado a través de la red CGSI
Los hallazgos de CGSI también indican que la mayoría de estos ataques se originan en China.
Cifra 2 – Intento de explotación observado por la red CGSI
Durante el monitoreo de rutina de los foros de cibercrimen, Cyble Researcher & Intelligence Labs (CRIL) observó una publicación en un destacado foro ruso de cibercrimen el 8 de abril de 2024 sobre un actor de amenazas (TA) que compartía un exploit para atacar las instancias vulnerables de NAS de D-Link afectadas con CVE-2024-3273.
Para respaldar las afirmaciones, el TA compartió además el resultado del exploit ejecutado con éxito en una instancia implementada en localhost, junto con el resultado del comando “id” que refleja el UID del usuario como 0, para demostrar el acceso a la cuenta raíz.
Cifra 3 – TA comparte un exploit para CVE-2024-3273 en un foro sobre ciberdelincuencia
Detalles de vulnerabilidad
La vulnerabilidad encontrada en las versiones afectadas de D-Link proviene del script CGI nas_sharing.cgi. D-Link ha recomendado retirar estos productos y reemplazarlos con productos que reciban actualizaciones de firmware, ya que los productos de fin de vida útil (EOL)/fin de soporte (EOS) ya no son compatibles. Se detiene todo desarrollo de firmware para estos productos.
Uso de credenciales codificadas (CVE-2024-3272)
La vulnerabilidad cae dentro de la categoría de gravedad crítica y permite a un atacante remoto manipular el ‘usuario’ argumento usando la entrada ‘bus de mensajes,’ revelando así credenciales codificadas.
Inyección de comando (CVE-2024-3273)
La vulnerabilidad cae dentro de la categoría de alta gravedad y permite que un atacante remoto manipule el ‘sistema’ parámetro, que conduce a la inyección de comando.
Al explotar ambas vulnerabilidades en conjunto, un atacante podría ejecutar efectivamente comandos arbitrarios en el sistema. Esto podría resultar en acceso no autorizado a datos confidenciales, alteraciones en las configuraciones del sistema o la creación de situaciones de denegación de servicio.
Productos afectados
- D-Link DNS-320L, DNS-325, DNS-327L y DNS-340L hasta 20240403
Exposición a Internet del NAS D-Link
En el momento de publicar este análisis, los investigadores de Cyble observaron que 94.446 NAS DLink expuestos a Internet estaban expuestos a través de Internet. La mayoría de los casos expuestos corresponden al Reino Unido, Tailandia, Italia, Alemania y Hungría (como se muestra a continuación).
Conclusión
La explotación continua de los dispositivos NAS D-Link por parte de actores de amenazas, detectada por la red CGSI, representa un desarrollo preocupante para las organizaciones públicas y privadas. La importancia de la amenaza que surge de los dispositivos NAS de D-Link que han alcanzado su estado de fin de vida útil (EOL)/fin de servicio (EOS), están expuestos a través de Internet y son fácilmente explotables debido a la disponibilidad de exploits públicos, es extremadamente catastrófico y puede tener un efecto en cascada en las posturas de seguridad de varias organizaciones.
Las vulnerabilidades presentes en los dispositivos NAS suponen un grave riesgo, ya que la explotación no sólo compromete la integridad y seguridad del dispositivo afectado sino que también se extiende a otros dispositivos interconectados dentro de la red. Esta interconexión amplifica el impacto potencial, exponiendo las redes empresariales a riesgos y vulnerabilidades importantes.
Recomendaciones
- Actualizar o reemplazar: priorice la actualización a versiones compatibles o el reemplazo de productos EOL/EOS con alternativas más nuevas que reciban actualizaciones y parches de seguridad periódicamente.
- Segmentación y aislamiento: Separe los productos EOL/EOS en segmentos de red aislados para minimizar su exposición a amenazas potenciales y limitar su impacto en la red general si se ven comprometidos.
- Implemente medidas de seguridad adicionales: implemente controles de seguridad adicionales, como firewalls, sistemas de detección de intrusiones (IDS) y soluciones de monitoreo de red para mejorar la postura de seguridad de los productos EOL/EOS.
- Evaluaciones y monitoreo de seguridad regulares: realice evaluaciones de seguridad y escaneos de vulnerabilidades regulares para identificar y abordar cualquier debilidad o vulnerabilidad en los productos EOL/EOS. Implementar un monitoreo continuo para detectar y responder oportunamente a incidentes de seguridad.
- Estrategias de mitigación de riesgos: Desarrollar e implementar estrategias de mitigación de riesgos adaptadas a los productos EOL/EOS, incluidos planes de contingencia para posibles incidentes de seguridad y medidas de continuidad del negocio para minimizar las interrupciones.
- Comunicación y colaboración con el proveedor: mantenga una comunicación abierta con el proveedor para consultar sobre posibles opciones de soporte extendido, avisos de seguridad o soluciones alternativas para productos EOL/EOS. Colabore con el proveedor y la comunidad de ciberseguridad para abordar los problemas de seguridad de manera efectiva.
- Concientización y capacitación del usuario: Proporcionar programas integrales de capacitación y concientización sobre ciberseguridad para usuarios y administradores de productos EOL/EOS. Infórmeles sobre los riesgos asociados con el uso de software no compatible y enfatice la importancia de cumplir con las mejores prácticas de seguridad para mitigar esos riesgos de manera efectiva.
Indicadores de compromiso (IOC)
| Indicadores | Tipo de indicador | Descripción |
| 47[.]94[.]155[.]169 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 8[.]134[.]81[.]86 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 171[.]244[.]23[.]11 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 120[.]79[.]250[.]151 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 35[.]229[.]184[.]234 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 182[.]253[.]115[.]123 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 202[.]79[.]171[.]107 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 116[.]198[.]40[.]76 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 121[.]41[.]56[.]249 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 114[.]67[.]183[.]11 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 183[.]56[.]199[.]229 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 116[.]62[.]192[.]107 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 80[.]94[.]92[.]60 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 91[.]215[.]85[.]61 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 14[.]225[.]53[.]162 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 112[.]111[.]0[.]102 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 186[.]251[.]21[.]234 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 51[.]79[.]19[.]53 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 115[.]220[.]2[.]96 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 39[.]98[.]218[.]14 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 120[.]196[.]56[.]220 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
| 14[.]116[.]254[.]172 | Dirección IP | Se observaron direcciones IP que intentaban explotar CVE-2024-3273. |
Referencias
https://github.com/netsecfish/dlink
https://vuldb.com/?id.259284
Relacionado
Fuente Original Cyble
