Bir tehdit araştırmacısı, birden fazla kullanım ömrü sonu D-Link Ağa Bağlı Depolama (NAS) cihaz modelinde yeni bir rastgele komut ekleme ve sabit kodlu arka kapı kusurunu ortaya çıkardı.
Kusuru keşfeden ‘Netsecfish’ araştırmacısı, sorunun ‘/cgi-bin/nas_sharing.cgi’ betiğinde bulunduğunu ve HTTP GET İstek İşleyici bileşenini etkilediğini açıklıyor.
CVE-2024-3273 olarak izlenen kusura katkıda bulunan iki ana sorun, sabit kodlanmış bir hesap (kullanıcı adı: “messagebus” ve boş parola) yoluyla kolaylaştırılan bir arka kapı ve “sistem” parametresi yoluyla bir komut ekleme sorunudur.
Birbirine zincirlendiğinde herhangi bir saldırgan, cihazdaki komutları uzaktan çalıştırabilir.
Komut ekleme kusuru, bir HTTP GET isteği yoluyla “sistem” parametresine base64 kodlu bir komutun eklenmesinden kaynaklanır ve bu komut daha sonra yürütülür.
Araştırmacı, “Bu güvenlik açığının başarılı bir şekilde kullanılması, bir saldırganın sistemde rastgele komutlar yürütmesine olanak tanıyabilir ve bu da potansiyel olarak hassas bilgilere yetkisiz erişime, sistem yapılandırmalarında değişiklik yapılmasına veya hizmet koşullarının reddedilmesine yol açabilir” uyarısında bulunuyor.
CVE-2024-3273’ten etkilenen cihaz modelleri şunlardır:
- DNS-320L Sürüm 1.11, Sürüm 1.03.0904.2013, Sürüm 1.01.0702.2013
- DNS-325 Sürüm 1.01
- DNS-327L Sürüm 1.09, Sürüm 1.00.0409.2013
- DNS-340L Sürüm 1.08
Netsecfish, ağ taramalarının 92.000’den fazla savunmasız D-Link NAS cihazının çevrimiçi olarak açığa çıktığını ve bu kusurlar yoluyla saldırılara açık olduğunu gösterdiğini söylüyor.
Kullanılabilir yama yok
Hata ve bir yama yayınlanıp yayınlanmayacağı konusunda D-Link ile iletişime geçtikten sonra satıcı bize bu NAS cihazlarının ömrünün sonuna (EOL) ulaştığını ve artık desteklenmediğini söyledi.
“Tüm D-Link Ağa Bağlı depolama birimleri uzun yıllardır Kullanım Ömrü ve Hizmet Ömrü Sonu olmuştur [and] bu ürünlerle ilgili kaynakların geliştirilmesi durduruldu ve artık desteklenmiyor” dedi sözcü.
“D-Link, bu ürünlerin kullanımdan kaldırılmasını ve ürün yazılımı güncellemeleri alan ürünlerle değiştirilmesini öneriyor.”
Sözcü ayrıca BleepingComputer’a, etkilenen cihazların mevcut modeller gibi otomatik çevrimiçi güncelleme yeteneklerine veya bildirimleri iletmek için müşteriye ulaşma özelliklerine sahip olmadığını söyledi.
Bu nedenle satıcı, kusur ve bu cihazların derhal kullanımdan kaldırılması veya değiştirilmesi gerektiği konusunda farkındalığı artırmak için dün yayınlanan bir güvenlik bülteniyle sınırlıydı.
D-Link, eski cihazlar için, sahiplerinin en son güvenlik ve ürün yazılımı güncellemelerini bulmak için arşivlerde gezinebileceği özel bir destek sayfası oluşturdu.
Güncelliğini yitirmiş donanım kullanmakta ısrar edenler, CVE-2024-3273 gibi yeni keşfedilen sorunları çözmese bile en azından mevcut en son güncellemeleri uygulamalıdır.
Ayrıca NAS cihazları, genellikle veri çalmak veya fidye yazılımı saldırılarında şifrelemek amacıyla hedeflendiğinden hiçbir zaman internete maruz bırakılmamalıdır.