این دستگاهها دارای یک حفره امنیتی هستند که به مهاجمان امکان میدهد با اجرای دستورات دلخواه روی دستگاهها، از آنها سوءاستفاده کنند و به دلیل عدم پشتیبانی D-Link از این دستگاهها، احتمالا این نقص امنیتی برطرف نخواهد شد.
یک آسیبپذیری با شناسه CVE-2024-10914 وجود دارد که دارای امتیاز شدت ۹.۲ (که سطح بحرانی محسوب میشود) است. این نقص در دستور ‘cgi_user_add’ قرار دارد، جایی که پارامتر name به اندازه کافی پاکسازی نشده است.
یک مهاجم بدون نیاز به احراز هویت میتواند از این آسیبپذیری استفاده کرده و دستورات دلخواه شل (shell commands) را روی دستگاه اجرا کند. این کار با ارسال درخواستهای HTTP GET بهصورت ویژه و دستکاریشده به دستگاههای آسیبپذیر انجام میشود.
این نقص امنیتی تنها محدود به یک مدل خاص نیست و مدلهای مختلفی از دستگاههای NAS D-Link که بهویژه در کسبوکارهای کوچک رایج هستند را در بر میگیرد.
- DNS-320 Version 1.00
- DNS-320LW Version 1.01.0914.2012
- DNS-325 Version 1.01, Version 1.02
- DNS-340L Version 1.08
در یک مقاله فنی که جزئیات بهرهبرداری از این آسیبپذیری را توضیح میدهد، محقق امنیتی Netsecfish بیان کرده است که برای سوءاستفاده از این آسیبپذیری، باید یک درخواست HTTP GET دستکاریشده به دستگاه NAS ارسال شود که ورودی مخرب در پارامتر name دارد.
curl "http://[Target-IP]/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27"
درخواست curl طوری طراحی شده که با ارسال این URL به دستگاه، فرمان cgi_user_add اجرا میشود و از طریق پارامتر name، مهاجم میتواند فرمان دلخواهی را به سیستم وارد کند.
Netsecfish یک جستجو در پلتفرم FOFA انجام داده و نتیجهی این جستجو ۶۱,۱۴۷ مورد را نشان داده است که در ۴۱,۰۹۷ آدرس IP منحصربهفرد مربوط به دستگاههای D-Link آسیبپذیر در برابر CVE-2024-10914 یافت شدهاند.
D-Link امروز در یک اطلاعیه امنیتی تأیید کرده است که راهحلی برای CVE-2024-10914 ارائه نخواهد شد و این نقص برطرف نمیشود. این شرکت به کاربران توصیه میکند که محصولات آسیبپذیر را از رده خارج کنند.
اگر کاربران نمیتوانند بهزودی دستگاههای آسیبپذیر را حذف یا جایگزین کنند، باید برای کاهش خطر، دسترسی این دستگاهها به اینترنت را محدود کرده یا فقط به افراد یا سیستمهای خاص اجازه دسترسی بدهند.
همان محقق در آوریل امسال یک آسیبپذیری تزریق دستور دلخواه و پشتدروازه هاردکد شده را کشف کرده است که با شناسه CVE-2024-3273 ثبت شده و عمدتاً همان مدلهای دستگاه NAS شرکت D-Link را تحت تأثیر قرار میدهد که آسیبپذیری اخیر نیز آنها را تهدید میکند.
در آن زمان، اسکنهای اینترنتی FOFA تعداد ۹۲,۵۸۹ نتیجه را برگرداند.
D-Link اعلام کرده که چون این دستگاهها قدیمی هستند و دیگر تولید نمیشوند، هیچ پشتیبانی امنیتی جدید برای آنها ارائه نمیشود.