Meer dan 92.000 blootgestelde D-Link NAS-apparaten hebben een backdoor-account

  • Onderwerp starter Onderwerp starter Abraham54
  • Startdatum Startdatum
  • Reacties 0
  • Weergaven 702

Abraham54

Beheerder
Forumleiding
Lid geworden
2 aug 2016
Berichten
36.583
Waarderingsscore
7.064
Punten
113
OS
Windows 11 Professional
AV
Microsoft Defender, MBAM & Eset Online
FW
Windows Firewall

Meer dan 92.000 blootgestelde D-Link NAS-apparaten hebben een backdoor-account​

Door Bill Toulas
Publicatie van BleepingComputer



map-dlink.jpg




Een bedreigingsonderzoeker heeft een nieuwe fout in de injectie van willekeurige opdrachten en een hardcoded backdoor in
meerdere modellen D-Link Network Attached Storage (NAS) onthuld.

De onderzoeker die het lek heeft ontdekt, 'Netsecfish', legt uit dat het probleem zich voordoet in het '/cgi-bin/nas_sharing.cgi'-script,
dat van invloed is op de HTTP GET Request Handler-component.

De twee belangrijkste problemen die bijdragen aan het probleem, getraceerd als CVE-2024-3273, zijn een backdoor die mogelijk
wordt gemaakt door een hardcoded account (gebruikersnaam: "messagebus" en leeg wachtwoord) en een probleem met
opdrachtinjectie via de "system" parameter.

Wanneer deze aan elkaar gekoppeld worden, kan een aanvaller op afstand commando's uitvoeren op het apparaat.

Het probleem met de opdrachtinjectie ontstaat door het toevoegen van een base64-gecodeerd commando aan de "system" parameter
a een HTTP GET-verzoek, dat vervolgens wordt uitgevoerd.


code.jpg

Voorbeeld van een kwaadaardig verzoek (Netsecfish|GitHub)



"Als deze kwetsbaarheid met succes wordt uitgebuit, kan een aanvaller willekeurige commando's uitvoeren op het systeem, wat kan
leiden tot onbevoegde toegang tot gevoelige informatie, wijziging van systeemconfiguraties of denial of service", waarschuwt de
onderzoeker.

De apparaatmodellen waarop CVE-2024-3273 van invloed is, zijn:
  • DNS-320L versie 1.11, versie 1.03.0904.2013, versie 1.01.0702.2013
  • DNS-325 Versie 1.01
  • DNS-327L versie 1.09, versie 1.00.0409.2013
  • DNS-340L versie 1.08
Netsecfish zegt dat netwerkscans laten zien dat meer dan 92.000 kwetsbare D-Link NAS-apparaten online staan en vatbaar zijn voor
aanvallen via deze fouten.


scan.png


Resultaten Internet scan (Netsecfish|GitHub)



Geen patches beschikbaar​

Nadat we contact hadden opgenomen met D-Link over de fout en of er een patch zou worden uitgebracht, vertelde de leverancier
ons dat deze NAS-apparaten het einde van hun levensduur (EOL) hadden bereikt en niet langer werden ondersteund.

"Alle D-Link Network Attached storage is al vele jaren End of Life en of Service Life [en] de middelen in verband met deze
producten zijn gestopt met hun ontwikkeling en worden niet langer ondersteund," verklaarde de woordvoerder.

"D-Link raadt aan om deze producten met pensioen te sturen en te vervangen door producten die firmware-updates ontvangen."

De woordvoerder vertelde BleepingComputer ook dat de getroffen apparaten geen automatische online updatemogelijkheden of
klantgerichte functies hebben om meldingen te geven, zoals de huidige modellen.

Daarom beperkte de leverancier zich tot een beveiligingsbulletin dat gisteren werd gepubliceerd om mensen bewust te maken van
de fout en de noodzaak om deze apparaten onmiddellijk uit bedrijf te nemen of te vervangen.

D-Link heeft een speciale ondersteuningspagina voor verouderde apparaten opgezet, waar eigenaren door archieven kunnen
navigeren om de nieuwste beveiligings- en firmware-updates te vinden.

Degenen die erop staan om verouderde hardware te gebruiken, moeten op zijn minst de laatste beschikbare updates toepassen,
zelfs als deze geen oplossing bieden voor nieuw ontdekte problemen zoals CVE-2024-3273.

Bovendien mogen NAS-apparaten nooit worden blootgesteld aan het internet, omdat ze vaak het doelwit zijn van
aanvallen met ransomware om gegevens te stelen of te versleutelen.
 
Terug
Bovenaan Onderaan