Un investigador reveló una inyección de comando arbitraria y un problema de puerta trasera codificada en varios modelos NAS D-Link al final de su vida útil.
Un investigador que se conecta a Internet con el apodo de ‘Netsecfish’ reveló una nueva inyección de comando arbitrario y una falla de puerta trasera codificada, rastreada como CVE-2024-3273 , que afecta múltiples almacenamientos conectados en red (NAS) D-Link al final de su vida útil. modelos de dispositivos.
La falla afecta a múltiples dispositivos NAS D-Link, incluidos los modelos DNS-340L, DNS-320L, DNS-327L y DNS-325.
La vulnerabilidad reside en el uri nas_sharing.cgi, el investigador descubrió una puerta trasera facilitada por credenciales codificadas y una vulnerabilidad de inyección de comandos a través del parámetro del sistema. Un atacante puede aprovechar la falla para lograr la ejecución de comandos en los dispositivos NAS D-Link afectados, obtener acceso a un posible acceso a información confidencial, alterar la configuración del sistema o denegar el servicio.
Netsecfish informó que más de 92.000 dispositivos conectados a Internet son vulnerables.
La solicitud incluye parámetros para un nombre de usuario (usuario=messagebus) y un campo vacío para la contraseña ( passwd=). Este truco permite a los atacantes obtener eludir la autenticación. El problema de la inyección de comandos se logra agregando un comando codificado en base64 al system parámetro en una solicitud HTTP GET. El comando se decodifica y ejecuta.
«La explotación exitosa de esta vulnerabilidad podría permitir a un atacante ejecutar comandos arbitrarios en el sistema, lo que podría conducir a un acceso no autorizado a información confidencial, modificación de las configuraciones del sistema o condiciones de denegación de servicio». escribió Netsecfish.
La falla afecta a los siguientes dispositivos:
- DNS-320L Versión 1.11, Versión 1.03.0904.2013, Versión 1.01.0702.2013
- DNS-325 Versión 1.01
- DNS-327L Versión 1.09, Versión 1.00.0409.2013
- DNS-340L Versión 1.08
La mala noticia es que los propietarios de los modelos de dispositivos tienen que reemplazarlos porque el proveedor no publicará actualizaciones de seguridad para estos NAS porque han llegado al final de su vida útil (EOL).
“Este exploit afecta a los productos D-Link heredados y a todas las revisiones de hardware, que han alcanzado su ciclo de vida de fin de vida útil (“EOL”)/fin de vida útil (“EOS”). Los productos que han alcanzado su EOL/EOS ya no reciben actualizaciones de software del dispositivo ni parches de seguridad y ya no son compatibles con D-Link”. lee el aviso publicado por el proveedor. “ D-Link US recomienda que los dispositivos D-Link que hayan alcanzado EOL/EOS sean retirados y reemplazados. “
Además, los dispositivos NAS nunca deben exponerse a Internet, ya que suelen estar destinados a robar datos o cifrarlos en ataques de ransomware .
Fuente: securityaffairs.com
