Понад 92 000 D-Link NAS виявлено в Інтернеті через жорстко закодований бекдор

Нещодавнє відкриття великої вразливості сильно вдарило по екосистемі мережевого сховища (NAS). Причиною цієї проблеми безпеки є певні моделі NAS від бренду D-Link, які мають тривожний недолік: наявність бекдора, вставленого безпосередньо в мікропрограму. Обліковий запис користувача, створений із підвищеними привілеями та інтегрований у систему, доступний без найменшого пароля. Ця точка входу є благом для зловмисників, дозволяючи їм за бажанням виконувати команди на уражених пристроях.

Ми точно визначаємо цю вразливість за посиланням CVE-2024-3273. Окрім вищезгаданого бекдору, пов’язаного з обліковим записом під назвою «messagebus», він також проявляється як налаштування, що дозволяє виконувати системні команди. Таким чином, NAS, відкритий в Інтернеті, стає потенційною мішенню для дистанційного керування, що загрожує цілісності мережі, до якої він належить.

Згідно з опублікованою інформацією, проблема в основному полягає в сценарії “/cgi-bin/nas_sharing.cgi” відповідного NAS. Зловмисне використання цієї вади може призвести до несанкціонованого доступу до конфіденційних даних, зміни системи або навіть зробити службу непрацездатною.

Список уразливих моделей D-Link NAS

Ось огляд моделей, уражених цією критичною вадою:

• DNS-320L (версії 1.11, 1.03.0904.2013, 1.01.0702.2013)
• DNS-325 (версія 1.01)
• DNS-327L (версії 1.09, 1.00.0409.2013)
• DNS-340L (версія 1.08)

Серйозність ситуації підсилюється тим фактом, що ці моделі вже застаріли і не отримують жодних оновлень безпеки від D-Link. Тому компанія радить припинити використання цих продуктів і перейти на новіші моделі.

Ступінь впливу в Інтернеті

Дослідження експертів з кібербезпеки показують, що більше ніж 92 000 пристроїв D-Link NAS наразі доступні в Інтернеті, представляючи безпосередню вразливість у межах посилання CVE-2024-3273. Це означає, що величезна кількість підключених пристроїв теоретично може бути використана потенційними кіберзлочинцями, потенційно слугуючи плацдармом для більш складних атак.

Зіткнувшись із підвищеним ризиком проникнення в їхні системи через ці вразливі пристрої, користувачі D-Link NAS повинні діяти без зволікань. Рекомендується негайна заміна інкримінованих моделей. Очікуючи на це необхідне оновлення апаратного забезпечення, настійно рекомендується вимкнути доступ до Інтернету та переглянути політику безпеки, щоб обмежити масштаби цієї вразливості.

Цей інцидент підкреслює важливість ретельного моніторингу технологій і безпеки для ІТ-менеджерів. Ретельний моніторинг повідомлень виробників і впровадження проактивного управління цифровими активами є важливими для захисту від таких загроз.