Backdoor su oltre 92 mila dispositivi NAS D-Link, ma non si possono aggiornare

Backdoor su oltre 92 mila dispositivi NAS D-Link, ma non si possono aggiornare

C'è una vulnerabilità e una backdoor presente su dispositivi NAS D-Link esposti su Internet, ma si tratta di dispositivi che hanno ormai raggiunto il termine del supporto

di pubblicata il , alle 08:01 nel canale Sicurezza
D-Link
 

Il ricercatore di sicurezza "Netsecfish" ha individuato una vulnerabilità presente in alcuni modelli di dispositivi NAS D-Link ormai giunti al termine del loro ciclo di vita. 

La vulnerabilità, tracciata come CVE-2024-3273, rigarda lo script /cgi-bin/nas_sharing.cgi e in particolare la presenza di un problema di command injection tramite il parametro "system". Non è finita qui: in questi dispositivi è presente una backdoor sfruttabile tramite un apposito account hardcoded e la combinazione dei due problemi può consentire ad una terza parte non autorizzata l'esecuzione di comandi da remoto sul dispositivo. 

"Lo sfruttamento efficace di questa vulnerabilità potrebbe consentire a un utente malintenzionato di eseguire comandi arbitrari sul sistema, portando potenzialmente all'accesso non autorizzato a informazioni sensibili, alla modifica delle configurazioni del sistema o alla negazione delle condizioni di servizio", avverte il ricercatore Netsecfish.

Sarebbero oltre 92 mila i dispositivi NAS D-Link al momento vulnerabili ed esposti online, e quindi proni a possibilità di compromissione. In particolare la vulnerabilità è a carico dei modelli DNS-320L (versione 1.11, 1.03.0904.2013 e 1.01.0702.2013), DNS-325 (versione 1.01), DNS-327L (version 1.09 e 1.00.0409.2013) e DNS-340L (version 1.08). 

Come abbiamo indicato poco sopra, si tratta di dispositivi ormai giunti al termine del loro ciclo di vita previsto dal produttore: quando il ricercatore ha contattato D-Link per segnalare il problema e richiedere l'emissione di una patch, l'azienda ha confermato che il raggiungimento dello stato EOL significa che i dispositivi non sono più supportati

In altri termini la società non emetterà alcun aggiornamento di sicurezza per questi prodotti e la procedura suggerita è quella di sostituire i dispositivi con modelli più recenti per i quali è ancora attivo il supporto. La società si è quindi limitata a pubblicare un bollettino di sicurezza per informare gli utenti sulla vulnerabilità, suggerendo conseguentemente di sostituire tali dispositivi ormai obsoleti.

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Vaulenst08 Aprile 2024, 08:09 #1
E' possibile usare un ottimo firmware alternativo: ALT-F

Ho il DNS-320 e ho usato tale firmware per anni, fino allo scorso agosto, quando ho cambiato NAS.

Firmware migliore dell'originale e (se non erro) debian-based.
Sig. Stroboscopico08 Aprile 2024, 08:44 #2
Io prenderei il NAS solo guardando la disponibilità di patch e aggiornamenti reali.

Mi sembra che alcuni di questi modelli abbiamo 10 anni... ma questi prodotti hanno una durata di vita più lunga (come hardware) senza alcun problema.
Ha senso buttarlo via se va?
io78bis08 Aprile 2024, 08:59 #3
Continuo a pensare che, anche come forma di obsolescenza programmata, al termine del supporto i firmware/software dovrebbero essere rilasciate in qualche modalità Community

Come fanno a far la valutazione del numero di dispositivi esposti?


Originariamente inviato da: Vaulenst
E' possibile usare un ottimo firmware alternativo: ALT-F

Ho il DNS-320 e ho usato tale firmware per anni, fino allo scorso agosto, quando ho cambiato NAS.

Firmware migliore dell'originale e (se non erro) debian-based.


Interessante potresti contattare il ricercatore per valutare se anche quel firmware ha lo stesso problema o magari ne corregge 1 e ne apre involontariamente altri
UtenteHD08 Aprile 2024, 09:02 #4
Il problema dei roture ecc.. e' problema serio, questo problema lo avevo gia' sollevato con tp-link perche' dopo poco tempo (2 anni?) smettono col supporto e Ti lasciano col firmware vecchio e vulnerabile. Ho provato a scrivere Loro varie voolte, fanno finti tonti e tutto resta cosi'.
Si vero che esistono firmware alternativi ecc.., ma bloccare il lavoro per fare una cosa che potrebbe come minimo se va bene bloccatri 1 giorno di lavoro perche' avevo dovuto confifurare il voce manualmente coi loro codici lunghissimi, fare continue prove ecc.. ed alla fine dopo 1 giorno ci sono riuscito, quindi preferisco nulla e restare con 2 firewall (router e PC) e con un sistema anti intrusione.
Poi si, vero, basta comprarne un altro ed avrai gli aggiornamenti.. si ok, viva il consumismo di cambiare per forza una cosa che funziona..
zappy08 Aprile 2024, 09:54 #5
deve essere obbligatorio per legge rilasciare il codice completo dei firmware al termine del ciclo di vita "presunto" dai produttori.

Non vuoi rivelare i tuoi presunti "segreti industriali" (=quanto hai spudoratamente [U]copiato [/U]da progetti opensource)? lo supporti a tempo indeterminato.

non vuoi rilasciare nè supportare? divieto di commercializzazione delle tue merde sul mercato EU. Per i prodotti già venduti, tassa di 100€ a pezzo per lo smaltimento [U]a carico del produttore[/U]. Vai fuori mercato? cazzi tuoi. Non vogliamo la tua immondizia.
insane7408 Aprile 2024, 10:24 #6
e soprattutto... una backdoor con credenziali cablate?
e chi ci garantisce che anche i modelli attualmente "supportati" non hanno questa bella backdoor?
al di là del problema riscontrato in questi dispositivi considerati obsoleti, la storia della backdoor la vedo piuttosto preoccupante!

PS: il mio primo NAS, oltre 15 anni fa, fu proprio un D-Link (non ricordo il modello). non li toccherei più nemmeno per buttarli nell'immondizia.
zappy08 Aprile 2024, 10:43 #7
comunque il titolo "non si possono aggiornare" è assolutamente sbagliato.
[B]non li [U]VOGLIONO [/U]aggiornare.[/B]
io78bis08 Aprile 2024, 11:03 #8
Originariamente inviato da: zappy
comunque il titolo "non si possono aggiornare" è assolutamente sbagliato.
[B]non li [U]VOGLIONO [/U]aggiornare.[/B]


Chiaro che il titolo è dal punto di vista del consumatore.
zappy08 Aprile 2024, 11:16 #9
Originariamente inviato da: io78bis
Chiaro che il titolo è dal punto di vista del consumatore.

ok, ma per me "possono" è assoluto. nel senso se c'è un problema hardcoded, vedi i problemi nell’esecuzione speculativa delle CPU emersa qlc anno fa (spectre/meltdown)...
Quindi qua è il produttore che non vuole.
Sandro kensan08 Aprile 2024, 18:34 #10
Forse ho letto l'articolo velocemente ma mi pare che questi dispositivi siano sempre stati suscettibili di un controllo da remoto, da quando sono nati ovvero 10 anni fa: ho capito male?

«D-Link Systems, Inc. è un'azienda di elettronica taiwanese, fondata nel 1986 a Taipei come Datex Systems Inc. Ha iniziato la propria attività come fornitore di adattatori di rete, evolvendo in un'azienda di progettazione, sviluppo e produzione di soluzioni di rete orientate sia al mercato dei consumatori sia a quello aziendale. »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^