D-Link ha annunciato che non riparerà un critico difetto nei suoi dispositivi NAS vecchi, che colpisce più di 60.000 dispositivi. Questa vulnerabilità, identificata come CVE-2024-10914, è una forma di injectione di comando che può essere sfruttata da un attaccante non autenticato per eseguire comandi arbitrari sul dispositivo. In questo articolo, esploreremo dettagli sulla vulnerabilità, i dispositivi colpiti e le raccomandazioni per proteggere i sistemi.
Dettagli sulla Vulnerabilità
La vulnerabilità CVE-2024-10914 è una forma di injectione di comando che si verifica nella funzione cgi_user_add dei dispositivi NAS D-Link. La funzione non sanitizza adeguatamente il parametro name, permettendo così a un attaccante di iniettare comandi arbitrari nel sistema. Questo può essere fatto inviando richieste HTTP GET specificamente craftate con input malevolo nel parametro name.
Esempio di Exploit
Un esempio di come un attaccante potrebbe sfruttare questa vulnerabilità è fornito da Netsecfish:
curl "http://[Target-IP]/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27"
Questo comando costruisce una URL che attiva la funzione cgi_user_add con un parametro name che include un comando shell iniettato.
Dispositivi Colpiti
La vulnerabilità CVE-2024-10914 colpisce diversi modelli di dispositivi NAS D-Link, comunemente utilizzati da piccole imprese:
- DNS-320 Version 1.00
- DNS-320LW Version 1.01.0914.2012
- DNS-325 Version 1.01, Version 1.02
- DNS-340L Version 1.08
Questi dispositivi sono stati identificati come vulnerabili attraverso ricerche condotte sul FOFA platform, che hanno restituito 61.147 risultati per 41.097 indirizzi IP unici.
Posizione di D-Link
D-Link ha confermato che non fornirà un fix per questa vulnerabilità e raccomanda ai utenti di ritirare i dispositivi vulnerabili. Se non è possibile ritirare i dispositivi, D-Link consiglia di isolarli dalla rete pubblica o di applicare condizioni di accesso più restrittive.
Suggerimenti e Consigli
1. Ritiro dei Dispositivi
Se possibile, il miglior modo per proteggere i dispositivi è ritirarli dalla rete e sostituirli con dispositivi più sicuri. Questo elimina completamente il rischio di attacchi.
2. Isolamento dalla Rete Pubblica
Se non è possibile ritirare i dispositivi, è importante isolarli dalla rete pubblica. Questo può essere fatto configurando il firewall per bloccare tutte le connessioni in entrata e in uscita, ad eccezione di quelle necessarie per il funzionamento del dispositivo.
3. Accesso Limitato
Se il ritiro o l’isolamento non sono possibili, è importante limitare l’accesso ai dispositivi. Questo può essere fatto configurando password robuste e limitando l’accesso solo a utenti autorizzati.
4. Monitoraggio Continuo
È importante monitorare i dispositivi per eventuali segni di attività sospetta. Utilizzare strumenti di monitoraggio e log può aiutare a rilevare rapidamente eventuali attacchi.
5. Aggiornamenti e Patch
Sebbene D-Link non fornirà un fix per questa vulnerabilità, è sempre importante mantenere gli altri sistemi aggiornati con gli ultimi patch di sicurezza. Questo può aiutare a proteggere i dispositivi da altre vulnerabilità.
La vulnerabilità CVE-2024-10914 nei dispositivi NAS D-Link rappresenta un rischio significativo per le piccole imprese che utilizzano questi dispositivi. Nonostante la mancanza di un fix da parte di D-Link, ci sono ancora molte cose che possono essere fatte per proteggere i sistemi. Ritirare i dispositivi, isolarli dalla rete pubblica, limitare l’accesso e monitorare continuamente possono aiutare a minimizzare il rischio di attacchi.
