Notebookcheck Logo

D-Link's oplossing voor kritieke kwetsbaarheid in NAS: Koop nieuwe hardware

D-Link maakt geen haast met het patchen van een kritiek NAS-lek (Afbeelding bron: D-Link)
D-Link maakt geen haast met het patchen van een kritiek NAS-lek (Afbeelding bron: D-Link)
Er is een kritiek kwetsbaar punt voor opdrachtinjectie ontdekt in verschillende D-Link NAS-apparaten, dat een hoog veiligheidsrisico vormt door een gebrek aan authenticatiewaarborgen. D-Link heeft geweigerd om beveiligingspatches uit te brengen voor de getroffen modellen, die in 2020 de end-of-life status bereikten, en raadt gebruikers in plaats daarvan aan om hun apparaten volledig te vervangen. Experts raden aan om deze apparaten te isoleren van openbare netwerken en strenge toegangscontroles te implementeren.
Fail NAS Security

Beveiligingsonderzoeker Netsecfish heeft een ernstig kwetsbaar punt voor opdrachtinjectie ontdekt dat duizenden oudere D-Link network-attached storage (NAS)-apparaten treft. Het lek, getraceerd als CVE-2024-10914 in de National Vulnerability Database (NVD), heeft een kritische ernstscore van 9.2 en vormt een aanzienlijk risico voor gebruikers die nog steeds vertrouwen op deze apparaten die aan het einde van hun levensduur zijn.

De kwetsbaarheid bevindt zich in de 'cgi_user_add' commandofunctionaliteit, met name in de 'name' parameter, die niet goed gesanitiseerd is. Wat deze fout bijzonder gevaarlijk maakt, is dat deze zonder authenticatie kan worden uitgebuit, waardoor aanvallers willekeurige shellcommando's kunnen injecteren via bewerkte HTTP GET-verzoeken.

De volgende D-Link modellen worden getroffen door het probleem:

  • D-Link DNS-320 Versie 1.00
  • D-Link DNS-320LW versie 1.01.0914.2012
  • D-Link DNS-325 versies 1.01 en 1.02
  • D-Link DNS-340L Versie 1.08

Netsecfish's FOFA-scan van de getroffen NAS-modellen onthulde 61.147 resultaten met 41.097 unieke IP-adressen. Hoewel de NVD suggereert dat de complexiteit van de aanval hoog is, zouden vaardige aanvallers deze kwetsbare apparaten kunnen misbruiken als ze aan het openbare internet worden blootgesteld.

Helaas heeft D-Link verklaard dat het geen patch zal uitbrengen, met het argument dat deze modellen vanaf 2020 allemaal hun end-of-life/end-of-service (EOL/EOS) hebben bereikt. In een verklaring adviseerde D-Link gebruikers om deze apparaten met pensioen te sturen of te vervangen, omdat er geen verdere software-updates of beveiligingspatches zullen worden geleverd.

Beveiligingsexperts hebben verschillende tijdelijke maatregelen uiteengezet voor gebruikers die hun getroffen D-Link NAS-apparaten niet onmiddellijk kunnen vervangen. Eerst en vooral wordt sterk aangeraden om deze apparaten te isoleren van openbare internettoegang om de blootstelling aan mogelijke aanvallen te minimaliseren. Daarnaast moeten organisaties strikte toegangscontrolemaatregelen implementeren en de toegang tot het apparaat beperken tot vertrouwde IP-adressen en geautoriseerde gebruikers. Experts die op zoek zijn naar alternatieve oplossingen, stellen voor om firmware-opties van derden te onderzoeken, hoewel ze benadrukken dat het belangrijk is om dergelijke firmware alleen te verkrijgen van betrouwbare en geverifieerde bronnen. Deze maatregelen moeten echter als tijdelijke oplossingen worden beschouwd en gebruikers worden dringend verzocht om plannen te ontwikkelen en uit te voeren om deze kwetsbare apparaten zo snel mogelijk te vervangen.

Please share our article, every link counts!
> Overzichten en testrapporten over laptops en mobieltjes > Nieuws > Nieuws Archief > Nieuws archieven 2024 11 > D-Link's oplossing voor kritieke kwetsbaarheid in NAS: Koop nieuwe hardware
Andrew Sozinov, 2024-11-10 (Update: 2024-11-10)