da Hardware Upgrade :
Il ricercatore di sicurezza “Netsecfish” ha individuato una vulnerabilità
presente in alcuni modelli di dispositivi NAS D-Link ormai giunti al
termine del loro ciclo di vita.
La vulnerabilità, tracciata come CVE-2024-3273,
rigarda lo script /cgi-bin/nas_sharing.cgi e in particolare la presenza di
un problema di command injection tramite il parametro “system”.
Non è finita qui: in questi dispositivi è presente una backdoor
sfruttabile tramite un apposito account hardcoded e la combinazione
dei due problemi può consentire ad una terza parte non autorizzata
l’esecuzione di comandi da remoto sul dispositivo.
“Lo sfruttamento efficace di questa vulnerabilità potrebbe consentire a
un utente malintenzionato di eseguire comandi arbitrari sul sistema,
portando potenzialmente all’accesso non autorizzato a informazioni
sensibili, alla modifica delle configurazioni del sistema o alla negazione
delle condizioni di servizio”, avverte
il ricercatore Netsecfish.
Sarebbero oltre 92 mila i dispositivi NAS D-Link al momento
vulnerabili ed esposti online, e quindi proni a possibilità di
compromissione. In particolare la vulnerabilità è a carico dei modelli DNS-320L
(versione 1.11, 1.03.0904.2013 e 1.01.0702.2013), DNS-325
(versione 1.01), DNS-327L (version 1.09 e 1.00.0409.2013) e DNS-340L
(version 1.08).
Come abbiamo indicato poco sopra, si tratta di dispositivi ormai giunti
al termine del loro ciclo di vita previsto dal produttore: quando il
ricercatore ha contattato D-Link per segnalare il problema e richiedere
l’emissione di una patch, l’azienda ha confermato che il raggiungimento
dello stato EOL significa che i dispositivi non sono più supportati.
In altri termini la società non emetterà alcun aggiornamento di sicurezza
per questi prodotti e la procedura suggerita è quella di sostituire i
dispositivi con modelli più recenti per i quali è ancora attivo il
supporto. La società si è quindi limitata a pubblicare un bollettino
di sicurezza per informare gli utenti sulla vulnerabilità,
suggerendo conseguentemente di sostituire tali dispositivi ormai obsoleti.