Πάνω από 92.000 εκτεθειμένες συσκευές NAS της D-Link έχουν λογαριασμό backdoor

[deniSun]

Ένας ερευνητής απειλών αποκάλυψε ένα νέο ελάττωμα έγχυσης αυθαίρετων εντολών και hardcoded backdoor σε πολλά μοντέλα συσκευών NAS (Network Attached Storage) της D-Link.

Ο ερευνητής που ανακάλυψε το ελάττωμα, ο 'Netsecfish', εξηγεί ότι το πρόβλημα βρίσκεται στο script '/cgi-bin/nas_sharing.cgi', επηρεάζοντας το στοιχείο HTTP GET Request Handler.

Τα δύο κύρια ζητήματα που συμβάλλουν στο ελάττωμα, το οποίο εντοπίζεται ως CVE-2024-3273, είναι μια κερκόπορτα που διευκολύνεται μέσω ενός hardcoded λογαριασμού (όνομα χρήστη: "messagebus" και άδειος κωδικός πρόσβασης) και ένα πρόβλημα έγχυσης εντολών μέσω της παραμέτρου "system".

Όταν συνδυάζονται αλυσιδωτά, οποιοσδήποτε εισβολέας μπορεί να εκτελέσει εξ αποστάσεως εντολές στη συσκευή.

Το σφάλμα έγχυσης εντολών προκύπτει από την προσθήκη μιας εντολής κωδικοποιημένης σε base64 στην παράμετρο "system" μέσω μιας αίτησης HTTP GET, η οποία στη συνέχεια εκτελείται.



"Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν εισβολέα να εκτελέσει αυθαίρετες εντολές στο σύστημα, οδηγώντας ενδεχομένως σε μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες, τροποποίηση των ρυθμίσεων του συστήματος ή συνθήκες άρνησης παροχής υπηρεσιών", προειδοποιεί ο ερευνητής.

Τα μοντέλα συσκευών που επηρεάζονται από το CVE-2024-3273 είναι τα εξής:

• Έκδοση 1.11, έκδοση 1.03.0904.2013, έκδοση 1.01.0702.2013.
• DNS-325 Έκδοση 1.01
• DNS-327L Έκδοση 1.09, Έκδοση 1.00.0409.2013
• DNS-340L Έκδοση 1.08

Η Netsecfish αναφέρει ότι οι σαρώσεις δικτύου δείχνουν ότι πάνω από 92.000 ευάλωτες συσκευές NAS της D-Link είναι εκτεθειμένες στο διαδίκτυο και επιρρεπείς σε επιθέσεις μέσω αυτών των ελαττωμάτων.



Αφού επικοινωνήσαμε με την D-Link σχετικά με το ελάττωμα και το αν θα κυκλοφορήσει κάποιο patch, ο προμηθευτής μας είπε ότι αυτές οι συσκευές NAS έχουν φτάσει στο τέλος της ζωής τους (EOL) και δεν υποστηρίζονται πλέον.

"Όλοι οι αποθηκευτικοί χώροι Network Attached storage της D-Link είναι End of Life και of Service Life εδώ και πολλά χρόνια [και] οι πόροι που σχετίζονται με αυτά τα προϊόντα έχουν σταματήσει την ανάπτυξή τους και δεν υποστηρίζονται πλέον", δήλωσε ο εκπρόσωπος.

"Η D-Link συνιστά την απόσυρση αυτών των προϊόντων και την αντικατάστασή τους με προϊόντα που λαμβάνουν ενημερώσεις υλικολογισμικού".

Ο εκπρόσωπος δήλωσε επίσης στο BleepingComputer ότι οι επηρεαζόμενες συσκευές δεν διαθέτουν δυνατότητες αυτόματης ηλεκτρονικής ενημέρωσης ή δυνατότητες προσέγγισης πελατών για την παράδοση ειδοποιήσεων, όπως τα τρέχοντα μοντέλα.

Ως εκ τούτου, ο πωλητής περιορίστηκε σε ένα δελτίο ασφαλείας που δημοσιεύθηκε χθες για να ευαισθητοποιήσει σχετικά με το ελάττωμα και την ανάγκη να αποσυρθούν ή να αντικατασταθούν άμεσα οι εν λόγω συσκευές.

Η D-Link έχει δημιουργήσει μια ειδική σελίδα υποστήριξης για τις παλαιότερες συσκευές, όπου οι ιδιοκτήτες μπορούν να περιηγηθούν στα αρχεία για να βρουν τις τελευταίες ενημερώσεις ασφαλείας και υλικολογισμικού.

Όσοι επιμένουν να χρησιμοποιούν ξεπερασμένο υλικό θα πρέπει τουλάχιστον να εφαρμόζουν τις τελευταίες διαθέσιμες ενημερώσεις, ακόμη και αν αυτές δεν αντιμετωπίζουν πρόσφατα ανακαλυφθέντα προβλήματα όπως το CVE-2024-3273.

Επιπλέον, οι συσκευές NAS δεν θα πρέπει ποτέ να εκτίθενται στο διαδίκτυο, καθώς συνήθως αποτελούν στόχο για την κλοπή δεδομένων ή την κρυπτογράφηση σε επιθέσεις ransomware.

πηγή via DeepL

[Hetfield]

Για αυτο, χιλιες φορες καλυτερα να παρεις ενα ισχυρο board να χτισεις το δικο σου NAS παρα να εξαρτασαι απο την καθε D-Link

[verylife78]

Η αληθεια ειναι τα homemade παντα ειναι καλυτερα, αλλα δεν ειναι για τον μεσο χρηστη.
και παλι ομως πανω σε καποια υπηρεσια θα πατησεις, εκτος αν απλα το αφησεις μονο σαν ftp.
Το δικο μου το nas πχ ειναι απλα εκτος πριζας εδω και πολλα χρονια και πλεον δουλευω ενα απλο στο raspberry μου, ουτε ξερω ποσα χρονια ειναι εκει αναμμενο και παιζει μονο του

[deniSun]

Με τι ευκολία όμως σου λένε να πάρεις νέο εξοπλισμό...

[ThReSh]

Για αυτο, χιλιες φορες καλυτερα να παρεις ενα ισχυρο board να χτισεις το δικο σου NAS παρα να εξαρτασαι απο την καθε D-Link

Πόνεσε βέβαια η αλλαγή στην τιμολόγηση του Unraid, στους καινούριους βέβαια, αλλά και πάλι μια ανησυχία υπάρχει και στους παλιούς πλέον.

Θα μου πεις, βάλε TrueNAS, too late πλέον.

[Hetfield]

Καλο και το trueNAS, το σκεφτομουνα σε τετοια υλοποιηση με 2xNVME σε διαταξη RAID:
https://www.youtube.com/watch?v=QsM6b5yix0U

[Mosfet]

Με τι ευκολία όμως σου λένε να πάρεις νέο εξοπλισμό...

Όλα τα products στον χώρο των H/Y (είτε software, είτε hardware), κάποια στιγμή γίνονται EOL.
Αυτό δεν είναι κάτι καινούριο. Κανένας vendor-ας δεν μπορεί να support-αρει οτιδήποτε, εις το διηνεκές του χρόνου.

[ThReSh]

Καλο και το trueNAS, το σκεφτομουνα σε τετοια υλοποιηση με 2xNVME σε διαταξη RAID:
https://www.youtube.com/watch?v=QsM6b5yix0U

Not enough hoarding.

[MyISLM]

Για αυτο, χιλιες φορες καλυτερα να παρεις ενα ισχυρο board να χτισεις το δικο σου NAS παρα να εξαρτασαι απο την καθε D-Link

Για κάποιον που ξέρει.

Με τι ευκολία όμως σου λένε να πάρεις νέο εξοπλισμό...

Το tradeoff είναι μεγάλο.



--------------------

Αυτό δεν είναι κάτι καινούριο. Κανένας vendor-ας δεν μπορεί να support-αρει οτιδήποτε, εις το διηνεκές του χρόνου.

Αν υπάρχει ανάγκη απο πολλούς καταναλωτές θα υπάρχουν πάντα κάποιοι που θα συντηρούν. πχ openzfs

[konig]

Ένας ερευνητής απειλών αποκάλυψε ένα νέο ελάττωμα έγχυσης αυθαίρετων εντολών και hardcoded backdoor σε πολλά μοντέλα συσκευών NAS (Network Attached Storage) της D-Link.

Ο ερευνητής που ανακάλυψε το ελάττωμα, ο 'Netsecfish', εξηγεί ότι το πρόβλημα βρίσκεται στο script '/cgi-bin/nas_sharing.cgi', επηρεάζοντας το στοιχείο HTTP GET Request Handler.

Τα δύο κύρια ζητήματα που συμβάλλουν στο ελάττωμα, το οποίο εντοπίζεται ως CVE-2024-3273, είναι μια κερκόπορτα που διευκολύνεται μέσω ενός hardcoded λογαριασμού (όνομα χρήστη: "messagebus" και άδειος κωδικός πρόσβασης) και ένα πρόβλημα έγχυσης εντολών μέσω της παραμέτρου "system".

Όταν συνδυάζονται αλυσιδωτά, οποιοσδήποτε εισβολέας μπορεί να εκτελέσει εξ αποστάσεως εντολές στη συσκευή.

Το σφάλμα έγχυσης εντολών προκύπτει από την προσθήκη μιας εντολής κωδικοποιημένης σε base64 στην παράμετρο "system" μέσω μιας αίτησης HTTP GET, η οποία στη συνέχεια εκτελείται.



"Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα μπορούσε να επιτρέψει σε έναν εισβολέα να εκτελέσει αυθαίρετες εντολές στο σύστημα, οδηγώντας ενδεχομένως σε μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες, τροποποίηση των ρυθμίσεων του συστήματος ή συνθήκες άρνησης παροχής υπηρεσιών", προειδοποιεί ο ερευνητής.

Τα μοντέλα συσκευών που επηρεάζονται από το CVE-2024-3273 είναι τα εξής:

• Έκδοση 1.11, έκδοση 1.03.0904.2013, έκδοση 1.01.0702.2013.
• DNS-325 Έκδοση 1.01
• DNS-327L Έκδοση 1.09, Έκδοση 1.00.0409.2013
• DNS-340L Έκδοση 1.08

Η Netsecfish αναφέρει ότι οι σαρώσεις δικτύου δείχνουν ότι πάνω από 92.000 ευάλωτες συσκευές NAS της D-Link είναι εκτεθειμένες στο διαδίκτυο και επιρρεπείς σε επιθέσεις μέσω αυτών των ελαττωμάτων.



Αφού επικοινωνήσαμε με την D-Link σχετικά με το ελάττωμα και το αν θα κυκλοφορήσει κάποιο patch, ο προμηθευτής μας είπε ότι αυτές οι συσκευές NAS έχουν φτάσει στο τέλος της ζωής τους (EOL) και δεν υποστηρίζονται πλέον.

"Όλοι οι αποθηκευτικοί χώροι Network Attached storage της D-Link είναι End of Life και of Service Life εδώ και πολλά χρόνια [και] οι πόροι που σχετίζονται με αυτά τα προϊόντα έχουν σταματήσει την ανάπτυξή τους και δεν υποστηρίζονται πλέον", δήλωσε ο εκπρόσωπος.

"Η D-Link συνιστά την απόσυρση αυτών των προϊόντων και την αντικατάστασή τους με προϊόντα που λαμβάνουν ενημερώσεις υλικολογισμικού".

Ο εκπρόσωπος δήλωσε επίσης στο BleepingComputer ότι οι επηρεαζόμενες συσκευές δεν διαθέτουν δυνατότητες αυτόματης ηλεκτρονικής ενημέρωσης ή δυνατότητες προσέγγισης πελατών για την παράδοση ειδοποιήσεων, όπως τα τρέχοντα μοντέλα.

Ως εκ τούτου, ο πωλητής περιορίστηκε σε ένα δελτίο ασφαλείας που δημοσιεύθηκε χθες για να ευαισθητοποιήσει σχετικά με το ελάττωμα και την ανάγκη να αποσυρθούν ή να αντικατασταθούν άμεσα οι εν λόγω συσκευές.

Η D-Link έχει δημιουργήσει μια ειδική σελίδα υποστήριξης για τις παλαιότερες συσκευές, όπου οι ιδιοκτήτες μπορούν να περιηγηθούν στα αρχεία για να βρουν τις τελευταίες ενημερώσεις ασφαλείας και υλικολογισμικού.

Όσοι επιμένουν να χρησιμοποιούν ξεπερασμένο υλικό θα πρέπει τουλάχιστον να εφαρμόζουν τις τελευταίες διαθέσιμες ενημερώσεις, ακόμη και αν αυτές δεν αντιμετωπίζουν πρόσφατα ανακαλυφθέντα προβλήματα όπως το CVE-2024-3273.

Επιπλέον, οι συσκευές NAS δεν θα πρέπει ποτέ να εκτίθενται στο διαδίκτυο, καθώς συνήθως αποτελούν στόχο για την κλοπή δεδομένων ή την κρυπτογράφηση σε επιθέσεις ransomware.

πηγή via DeepL

ωραιος αφησε και το google dork να το δουν ολοι μια χαρα

[BlueChris]

Παίζει δηλαδή κάποιος να είχε πάρει NAS της Dlink? Εγώ πρώτη φορά στη ζωή μου ακούω πως είχε βγάλει.

[Mosfet]

Αν υπάρχει ανάγκη απο πολλούς καταναλωτές θα υπάρχουν πάντα κάποιοι που θα συντηρούν. πχ openzfs

Κανένας δεν μπορεί να στο εγγυηθεί αυτό, ούτε στο open source.

[DVader]

Τίποτα στο διαδίκτυο χωρίς την χρήση κάποιου VPN ... απευθείας τίποτα...νέο/παλιό ...Θα μαλλιάσει η γλώσσα μου να το λέω !

[BlueChris]

Τίποτα στο διαδίκτυο χωρίς την χρήση κάποιου VPN ... απευθείας τίποτα...νέο/παλιό ...Θα μαλλιάσει η γλώσσα μου να το λέω !

Μέχρι να αποκαλυφθούν οι τρύπες σε OpenVPN, Wireguard κλπ.. ή νομίζετε οι σωστές υπηρεσίες δεν έχουν κάνει τα κουμάντα τους ?

[Tzitziloni]

Παίζει δηλαδή κάποιος να είχε πάρει NAS της Dlink? Εγώ πρώτη φορά στη ζωή μου ακούω πως είχε βγάλει.

Dlink dns-323 https://www.dlink.com/uk/en/products...rage-enclosure θρυλικό Nas και αθάνατο. Εκτός πρίζας πλέον αλλά όταν το βάζω περιστασιακά δουλεύει ακόμα κανονικότατα, μετά από 15+ χρόνια. Μερικές υπηρεσίες: raid, ftp server, print server, torrent client, account & quota control, user groups, backup scheduler, etc.

Τι δεν μου άρεσε: η πολιτική της dlink. Αρχικά είχε πολύ δυνατό support forum με έναν πραγματικά καλό team. Έπαιρναν feedback από τους χρήστες και διόρθωσαν ή πρόσθεταν πράγματα. Σύντομα και εντελώς ξαφνικά τους απέλυσαν (όπως μας είχε περιγράψει αναλυτικά ένας εξ αυτών πριν φύγει). Ήταν η αρχή του τέλους για την σειρά Nas της dlink. Αργότερα σταμάτησε εντελώς την παραγωγή και όπως σωστά αναφέρει το άρθρο, όλα αυτά τα προϊόντα είναι EOL εδώ και πολλά χρόνια.