Af Eskil Sørensen, 08/04/24
Der er fundet og afsløret en alvorlig sårbarhed i D-Link NAS-modeller, der har nået end-of-life.
Det skriver Security Affairs.
Sårbarheden har id’et CVE-2024-3273 og en CVSS-score på 7,3. Der er tale om en ”command injection” og hardkodet bagdørssårbarhed, der ligger i nas_sharing.cgi uri. En angriber kan udnytte fejlen til at opnå mulighed for afvikling af kommandor på de berørte D-Link NAS-enheder, få adgang til potentielt følsomme oplysninger, udføre systemkonfigurationsændringer eller DoS-angreb.
Researcheren bag fundet har rapporteret, at over 92.000 internet-vendte enheder er sårbare.
Fejlen påvirker følgende enheder:
- DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
- DNS-325 version 1.01
- DNS-327L version 1.09, version 1.00.0409.2013
- DNS-340L version 1.08
D-Link anbefaler ifølge Security Affairs, at D-Link-enheder, der har nået EOL/EOS, trækkes tilbage og udskiftes og tilføjer, at NAS-enheder aldrig bør udsættes for internettet, da de almindeligvis er mål for ransomwareangreb.
Links:
https://securityaffairs.com/161549/hacking/d-link-nas-flaw.html