Technika – Tudomány

Biztonsági rés tátong a D-Link NAS-okon

2024-04-10 05:57:57 51

A D-Link egyes hálózati adattárolói kapcsán egy sebezhetőség látott napvilágot, ami miatt több tízezer NAS vált kiszolgáltatottá.

A Netsecfish néven tevékenykedő biztonsági kutató arról számolt be, hogy súlyos sérülékenységet tárt fel régebbi típusú D-Link NAS-okban (Network Attached Storage). A hálózati adattárolókat érintő sérülékenység a CVE-2024-3273 azonosítót kapta.

A szakember közölte, hogy valójában két biztonsági rendellenességről van szó, amelyek együttes kihasználásával lehetőség nyílhat védelmi mechanizmusok megkerülésére, jogosulatlan távoli műveletvégrehajtásra, konfigurációs beállítások manipulálására és hátsó kapu létrehozására az érintett eszközökön.

Az egyik problémát egy „beégett” jelszó jelenti, amely hozzáférést biztosíthat az érintett NAS-okhoz. Emellett pedig egy parancsbefecskendezésre módot adó ellenőrzési hiányosság is található a berendezéseken lévő /cgi-bin/nas_sharing.cgi állományban.

A sebezhetőség speciálisan összeállított HTTP GET kérések révén parancsok jogosulatlan futtatásához járulhat hozzá, ami végül az érintett készülékek kompromittálásához vezethet.

A biztonsági kutató szerint az eddigi vizsgálatok alapján a hiba által érintett NAS-ok a következők:
DNS-320L v1.11, v1.03.0904.2013, v1.01.0702.2013
DNS-325 v1.01
DNS-327L v1.09, v1.00.0409.2013
DNS-340L v1.08

A D-Link a sérülékenység kapcsán egyelőre nem mutatkozott igazán tettre késznek, hiszen egyszerűen közölte, hogy az érintett NAS-oknak már lejárt a támogatási életciklusok, ezért nincs tervben a firmware-ek frissítése, vagyis a sebezhetőség javítása. Annak ellenére sem, hogy a biztonsági kutató netes elemzései azt az eredményt hozták, hogy jelenleg legalább 92 ezer sérülékeny NAS érhető el az interneten keresztül.

A kockázatok csökkentése érdekében jelenleg leginkább az javasolható, hogy a lehetőségekhez mérten az érintett adattárolók közvetlen internetes kapcsolatát meg kell szüntetni. A D-Link pedig az elavult készülékek újabb, jelenleg is támogatott eszközökre történő cseréjére buzdít.

D-Link Netsecfish biztonsági rés NAS