- Lid geworden
- 2 aug 2016
- Berichten
- 36.583
- Waarderingsscore
- 7.064
- Punten
- 113
- OS
- Windows 11 Professional
- AV
- Microsoft Defender, MBAM & Eset Online
- FW
- Windows Firewall
Meer dan 92.000 blootgestelde D-Link NAS-apparaten hebben een backdoor-account
Door Bill ToulasPublicatie van BleepingComputer
Een bedreigingsonderzoeker heeft een nieuwe fout in de injectie van willekeurige opdrachten en een hardcoded backdoor in
meerdere modellen D-Link Network Attached Storage (NAS) onthuld.
De onderzoeker die het lek heeft ontdekt, 'Netsecfish', legt uit dat het probleem zich voordoet in het '/cgi-bin/nas_sharing.cgi'-script,
dat van invloed is op de HTTP GET Request Handler-component.
De twee belangrijkste problemen die bijdragen aan het probleem, getraceerd als CVE-2024-3273, zijn een backdoor die mogelijk
wordt gemaakt door een hardcoded account (gebruikersnaam: "messagebus" en leeg wachtwoord) en een probleem met
opdrachtinjectie via de "system" parameter.
Wanneer deze aan elkaar gekoppeld worden, kan een aanvaller op afstand commando's uitvoeren op het apparaat.
Het probleem met de opdrachtinjectie ontstaat door het toevoegen van een base64-gecodeerd commando aan de "system" parameter
a een HTTP GET-verzoek, dat vervolgens wordt uitgevoerd.
Voorbeeld van een kwaadaardig verzoek (Netsecfish|GitHub)
"Als deze kwetsbaarheid met succes wordt uitgebuit, kan een aanvaller willekeurige commando's uitvoeren op het systeem, wat kan
leiden tot onbevoegde toegang tot gevoelige informatie, wijziging van systeemconfiguraties of denial of service", waarschuwt de
onderzoeker.
De apparaatmodellen waarop CVE-2024-3273 van invloed is, zijn:
- DNS-320L versie 1.11, versie 1.03.0904.2013, versie 1.01.0702.2013
- DNS-325 Versie 1.01
- DNS-327L versie 1.09, versie 1.00.0409.2013
- DNS-340L versie 1.08
aanvallen via deze fouten.
Resultaten Internet scan (Netsecfish|GitHub)
Geen patches beschikbaar
Nadat we contact hadden opgenomen met D-Link over de fout en of er een patch zou worden uitgebracht, vertelde de leverancierons dat deze NAS-apparaten het einde van hun levensduur (EOL) hadden bereikt en niet langer werden ondersteund.
"Alle D-Link Network Attached storage is al vele jaren End of Life en of Service Life [en] de middelen in verband met deze
producten zijn gestopt met hun ontwikkeling en worden niet langer ondersteund," verklaarde de woordvoerder.
"D-Link raadt aan om deze producten met pensioen te sturen en te vervangen door producten die firmware-updates ontvangen."
De woordvoerder vertelde BleepingComputer ook dat de getroffen apparaten geen automatische online updatemogelijkheden of
klantgerichte functies hebben om meldingen te geven, zoals de huidige modellen.
Daarom beperkte de leverancier zich tot een beveiligingsbulletin dat gisteren werd gepubliceerd om mensen bewust te maken van
de fout en de noodzaak om deze apparaten onmiddellijk uit bedrijf te nemen of te vervangen.
D-Link heeft een speciale ondersteuningspagina voor verouderde apparaten opgezet, waar eigenaren door archieven kunnen
navigeren om de nieuwste beveiligings- en firmware-updates te vinden.
Degenen die erop staan om verouderde hardware te gebruiken, moeten op zijn minst de laatste beschikbare updates toepassen,
zelfs als deze geen oplossing bieden voor nieuw ontdekte problemen zoals CVE-2024-3273.
Bovendien mogen NAS-apparaten nooit worden blootgesteld aan het internet, omdat ze vaak het doelwit zijn van
aanvallen met ransomware om gegevens te stelen of te versleutelen.