Falha GRAVE em dispositivos D-Link
11 de Novembro de 2024

Mais de 60.000 dispositivos de armazenamento conectados em rede da D-Link, que chegaram ao fim da vida útil (end-of-life), estão vulneráveis a uma vulnerabilidade de injeção de comando com um exploit disponível publicamente.

A falha, registrada como CVE-2024-10914 , possui uma pontuação de severidade crítica de 9,2 e está presente no comando ‘cgi_user_add’, onde o parâmetro de nome é insuficientemente higienizado.

Um atacante não autenticado poderia explorar essa falha para injetar comandos shell arbitrários enviando requisições HTTP GET especialmente criadas para os dispositivos.

A falha afeta múltiplos modelos de dispositivos de armazenamento conectados em rede (NAS) da D-Link comumente usados por pequenas empresas:

DNS-320 Versão 1.00
DNS-320LW Versão 1.01.0914.2012
DNS-325 Versão 1.01, Versão 1.02
DNS-340L Versão 1.08

Em um artigo técnico que fornece detalhes do exploit, o pesquisador de segurança Netsecfish diz que explorar a vulnerabilidade requer enviar "uma requisição HTTP GET elaborada ao dispositivo NAS com uma entrada maliciosa no parâmetro de nome.”

curl "http://[IP-do-Alvo]/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;<COMANDO_SHELL_INJETADO>;%27"

“Esta requisição de curl constrói uma URL que ativa o comando cgi_user_add com um parâmetro de nome que inclui um comando shell injetado,” explica o pesquisador.

Uma pesquisa que Netsecfish realizou na plataforma FOFA retornou 61.147 resultados em 41.097 endereços IP únicos para dispositivos D-Link vulneráveis ao CVE-2024-10914 .

Em um boletim de segurança hoje, a D-Link confirmou que uma correção para o CVE-2024-10914 não será disponibilizada e o fabricante recomenda que os usuários aposentem os produtos vulneráveis.

Se isso não for possível no momento, os usuários devem pelo menos isolá-los da internet pública ou colocá-los sob condições de acesso mais restritas.

O mesmo pesquisador descobriu em abril deste ano uma vulnerabilidade de injeção de comando arbitrário e falha de backdoor codificado em duro, registrada como CVE-2024-3273 , impactando principalmente os mesmos modelos de NAS da D-Link que a falha mais recente.

Naquela época, as varreduras da internet FOFA retornaram 92.589 resultados.

Respondendo à situação naquele momento, um porta-voz da D-Link disse que a empresa de networking não produz mais dispositivos NAS, e os produtos impactados haviam alcançado EoL e não receberão atualizações de segurança.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...