Notebookcheck Logo

A solução da D-Link para a vulnerabilidade crítica do NAS: Comprar novo hardware

A D-Link não tem pressa em corrigir uma vulnerabilidade crítica do NAS (Fonte da imagem: D-Link)
A D-Link não tem pressa em corrigir uma vulnerabilidade crítica do NAS (Fonte da imagem: D-Link)
Uma vulnerabilidade crítica de injeção de comando foi descoberta em vários dispositivos NAS da D-Link, o que representa um alto risco de segurança devido à falta de proteções de autenticação. A D-Link se recusou a emitir patches de segurança para os modelos afetados, que atingiram o status de fim de vida útil em 2020, recomendando que os usuários substituam seus dispositivos completamente. Os especialistas recomendam isolar esses dispositivos de redes públicas e implementar controles de acesso rigorosos.
Fail NAS Security

O pesquisador de segurança Netsecfish descobriu uma grave vulnerabilidade de injeção de comando que afeta milhares de dispositivos de armazenamento conectado à rede (NAS) mais antigos da D-Link. A falha, rastreada como CVE-2024-10914 no National Vulnerability Database (NVD), tem uma pontuação de gravidade crítica de 9,2 e representa um risco significativo para os usuários que ainda contam com esses dispositivos em fim de vida útil.

A vulnerabilidade reside na funcionalidade do comando 'cgi_user_add', especificamente no parâmetro 'name', que não possui sanitização adequada de entrada. O que torna essa falha particularmente perigosa é que ela pode ser explorada sem autenticação, permitindo que os invasores injetem comandos shell arbitrários por meio de solicitações HTTP GET criadas.

O seguinte D-Link são afetados por esse problema:

  • D-Link DNS-320 Versão 1.00
  • D-Link DNS-320LW Versão 1.01.0914.2012
  • D-Link DNS-325 Versões 1.01 e 1.02
  • D-Link DNS-340L Versão 1.08

A varredura FOFA da Netsecfish nos modelos de NAS afetados revelou 61.147 resultados com 41.097 endereços IP exclusivos. Embora o NVD sugira que a complexidade do ataque é alta, atacantes habilidosos poderiam explorar esses dispositivos vulneráveis se expostos à Internet pública.

Infelizmente, a D-Link declarou que não emitirá um patch, citando que todos esses modelos atingiram seu fim de vida/fim de serviço (EOL/EOS) a partir de 2020. Em um comunicado, a D-Link recomendou que os usuários aposentem ou substituam esses dispositivos, pois não serão fornecidas mais atualizações de software ou patches de segurança.

Os especialistas em segurança delinearam várias medidas provisórias para os usuários que não podem substituir imediatamente seus dispositivos D-Link NAS afetados. Em primeiro lugar, eles aconselham fortemente o isolamento desses dispositivos do acesso público à Internet para minimizar a exposição a possíveis ataques. Além disso, as organizações devem implementar medidas rigorosas de controle de acesso, limitando o acesso ao dispositivo apenas a endereços IP confiáveis e usuários autorizados. Para aqueles que buscam soluções alternativas, os especialistas sugerem explorar opções de firmware de terceiros, embora enfatizem a importância de obter esse firmware somente de fontes confiáveis e verificadas. No entanto, essas medidas devem ser consideradas soluções temporárias, e os usuários são instados a desenvolver e executar planos para substituir esses dispositivos vulneráveis assim que possível.

Please share our article, every link counts!
> Análises e revisões de portáteis e celulares > Arquivo de notícias 2024 11 > A solução da D-Link para a vulnerabilidade crítica do NAS: Comprar novo hardware
Andrew Sozinov, 2024-11-10 (Update: 2024-11-10)