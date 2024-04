Un ricercatore di sicurezza, noto come Netsecfish, ha individuato una grave vulnerabilità in alcuni vecchi NAS (Network Attached Storage) di D-Link che permette l’iniezione di comandi e l’accesso tramite backdoor. I dispositivi non sono più supportati, quindi il produttore non rilascerà un nuovo firmware.

Non collegare il NAS a Internet

La vulnerabilità, indicata con CVE-2024-3273, è presente nello script nas_sharing.cgi del componente HTTP GET Request Handler. I problemi individuati dal ricercatore sono due. Il primo è una backdoor dovuta all’esposizione di credenziali hardcoded, ovvero scritte nel firmware.

In pratica è sufficiente effettuare una richiesta HTTP GET inserendo messagebus come username e una password vuota. Accodando alla richiesta il comando da iniettare (in formato Base64) tramite il parametro system è possibile eseguire comandi arbitrari che consentono di accedere ad informazioni sensibili, modificare la configurazione dei NAS ed eseguire attacchi DoS (Denial of Service).

I modelli interessati con i relativi firmware sono:

DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013

DNS-325 Version 1.01

DNS-327L Version 1.09, Version 1.00.0409.2013

DNS-340L Version 1.08

Effettuando una scansione online, il ricercatore ha individuato oltre 92.000 NAS vulnerabili. La soluzione ovvia sarebbe quella di installare nuovi firmware. D-Link ha tuttavia comunicato che si tratta di modelli non più supportati, quindi non verrà rilasciato nessun aggiornamento.

Il produttore taiwanese consiglia di non utilizzare più questi NAS e sostituirli con nuovi modelli. In alternativa, gli utenti non dovrebbero consentire l’accesso da Internet. Per alcuni NAS è disponibile un firmware open source, ma non è noto se la vulnerabilità è presente nel codice.