Un ricercatore di sicurezza, noto come Netsecfish, ha individuato una grave vulnerabilità in alcuni vecchi NAS (Network Attached Storage) fuori produzione di D-Link che permette l’iniezione di comandi e l’accesso tramite backdoor. I dispositivi non sono più supportati, quindi il produttore non rilascerà un nuovo firmware.
Non collegare il NAS a Internet
La vulnerabilità, indicata con CVE-2024-3273, è presente nello script nas_sharing.cgi
del componente HTTP GET Request Handler. I problemi individuati dal ricercatore sono due. Il primo è una backdoor dovuta all’esposizione di credenziali hardcoded, ovvero scritte nel firmware.
In pratica è sufficiente effettuare una richiesta HTTP GET inserendo messagebus
come username e una password vuota. Accodando alla richiesta il comando da iniettare (in formato Base64) tramite il parametro system
è possibile eseguire comandi arbitrari che consentono di accedere ad informazioni sensibili, modificare la configurazione dei NAS ed eseguire attacchi DoS (Denial of Service).
I modelli interessati con i relativi firmware sono:
- DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
- DNS-325 Version 1.01
- DNS-327L Version 1.09, Version 1.00.0409.2013
- DNS-340L Version 1.08
Effettuando una scansione online, il ricercatore ha individuato oltre 92.000 NAS vulnerabili in tutto il mondo. D-Link aveva avvisato per tempo del termine del ciclo di vita dei dispositivi NAS oggetto di questa recente vulnerabilità, dunque non c’è nulla che possa essere recriminato all’azienda, che anzi ha continuato a fornire supporto sino al naturale raggiungimento del definitivo End of Service.
Il produttore taiwanese consiglia di non utilizzare più questi NAS e sostituirli con nuovi modelli. In alternativa, gli utenti non dovrebbero consentire l’accesso da Internet. Per alcuni NAS è disponibile un firmware open source, ma non è noto se la vulnerabilità è presente nel codice.
Aggiornamento (9/04/2024): la vulnerabilità è stata sfruttata da una variante di Mirai per aggiungere i dispositivi alla botnet.
Aggiornamento 17/04/2024: a seguito di una comunicazione da parte di D-Link abbiamo provveduto ad aggiornare il testo di questo articolo, dando un contesto più ampio relativo alla problematica di sicurezza evidenziata.