Критическая уязвимость в устройствах D-Link NAS
В устройствах D-Link NAS (Сетевое хранилище данных) была обнаружена критическая уязвимость безопасности. Эксплуатация данной уязвимости может позволить злоумышленникам выполнить вредоносный код на устройствах, что представляет серьезную угрозу для безопасности системы и данных.
Уязвимость, обозначенная как CVE-2024-10914, получила оценку CVSSv4 9.2 (очень высокий риск). Эта проблема затрагивает различные модели устройств D-Link NAS, позволяя злоумышленникам выполнять команды без аутентификации, что может привести к несанкционированному доступу, краже или изменению данных, а также к компрометации системы.
Уязвимость обнаружена в скрипте account_mgr.cgi
, а именно в параметре name
команды cgi_user_add
. Злоумышленники могут воспользоваться этой уязвимостью, отправив специально сформированные HTTP GET-запросы. Из-за недостаточной проверки данных злоумышленники могут вводить произвольные команды и выполнять их на устройстве.
При успешной эксплуатации CVE-2024-10914 могут возникнуть следующие риски:
- Несанкционированный доступ к устройству NAS
- Выполнение команд с привилегиями root
- Кража или изменение данных
- Установка вредоносного ПО, что приводит к нарушению стабильности устройства
Эта уязвимость затрагивает следующие модели D-Link NAS:
- DNS-320, версия 1.00
- DNS-320LW, версия 1.01.0914.2012
- DNS-325, версии 1.01 и 1.02
- DNS-340L, версия 1.08
Для устранения этой уязвимости UZCERT рекомендует следующие меры безопасности:
- Обновите прошивку: Установите последние обновления, выпущенные D-Link, как можно скорее.
- Ограничьте сетевой доступ: Разрешите доступ к интерфейсу управления NAS только с доверенных IP-адресов.
- Отслеживайте обновления: Регулярно проверяйте наличие новых обновлений безопасности от D-Link.
- Сегментирование сети: По возможности изолируйте устройства NAS от интернета и других критических сегментов сети.
- Регулярные проверки безопасности: Проводите регулярные проверки безопасности инфраструктуры сети, особенно устройств NAS.
Реализация этих мер безопасности как можно скорее необходима для защиты устройств и данных. Поделитесь этой информацией с вашими партнерами и соответствующими подразделениями, а также делитесь любой дополнительной информацией или находками.