I 92 mila NAS D-link vulnerabili sono già attivamente "arruolati" nella botnet Mirai

I 92 mila NAS D-link vulnerabili sono già attivamente "arruolati" nella botnet Mirai

I NAS non possono essere aggiornati perché giunti alla fine del ciclo di vita, e gli hacker ne approfittano attaccandoli con una variante del malware Mirai

di pubblicata il , alle 09:26 nel canale Sicurezza
D-Link
 

Gli oltre 92 mila dispositivi NAS D-Link affetti dalla vulnerabilità CVE-2024-3273 di cui abbiamo parlato nei giorni scorsi, sono ora presi attivamente di mira da un attore di minaccia che sta diffondendo una variante del famigerato malware Mirai.

Come avevamo già spiegato in precedenza oltre alla vulnerabilità, che se opportunamente sfruttata permette di eseguire comandi arbitrari da remoto e prendere il controllo dei NAS, il problema principale è rappresentato dal fatto che i dispositivi interessati sono giunti da tempo nella fase End of Life e pertanto il produttore non emette più alcun aggiornamento.

Purtroppo una situazione come questa rappresenta una ghiotta opportunità per gli attori di minaccia: il malware Mirai ha normalmente l'obiettivo di "arruolare" i dispositivi che infetta in una botnet da utilizzare successivamente per attacchi su larga scala, tipicamente di tipo Distributed Denial of Service. Quale situazione migliore, per ingrassare le fila della botnet, di 92 mila dispositivi esposti su Internet a cui non può essere applicata nessuna patch correttiva?

I primi attacchi hanno preso il via nel corso della giornata di lunedì, poco dopo che la vulnerabilità è stata resa di pubblico dominio. Il ricercatore di sicurezza che ha scoperto la falla, l'ha condivisa due settimane fa con D-Link. Dal momento che i dispositivi non sono più supportati, la società suggerisce la loro sostituzione con modelli più recenti.

Il suggerimento che si può dare in questo caso, specie per chi non ha alcuna intenzione di affrontare un esborso economico per sostituire un dispositivo comunque funzionante, è quello di evitare la sua esposizione su Internet mantenendolo ben protetto all'interno di una rete locale. Solamente nel caso in cui l'esposizione su Internet sia necessaria per esigenze di accesso remoto ai dati sarà opportuno valutare altre soluzioni come la sostituzione del dispositivo o la sottoscrizione di un servizio di cloud storage che possa supplire alla necessità di aprire un NAS verso l'esterno.

AGGIORNAMENTO Lunedì 15 aprile 2024

D-Link Italia ha emesso una nota con la quale comunica che i modelli D-Link venduti sul mercato italiano e interessati dalla vulnerabilità sono stimabili in un numero inferiore alle 1800 unità. Di seguito i modelli interessati:

  • DNS-320L dal 5 novembre 2012 al 13 novembre 2017 - ultimo aggioramento emesso il 13 novembre 2019
  • DNS-325 dal 4 aprile 2011 al 26 gennaio 2015 - ultimo aggiornamento emesso il 25 gennaio 2017
  • DNS-327L dall'11 luglio 2013 al 30 ottobre 2017 - ultimo aggiornamento emesso il 30 ottobre 2019
  • DNS-340L dal 5 gennaio 2015 al 29 ottobre 2017 - ultimo aggiornamento emesso il 29 ottobre 2019.

D-link precisa inoltre che se i NAS non sono direttamente connessi a Internet o è presente un firewall di sicurezza, il rischio di essere esposti alla vulnerabilità segnalata è ridotto al minimo.

I migliori sconti su Amazon oggi
-12%

HP 250 G9, Notebook Display 15.6'' FHD, Intel Core i5-12th 10 Core 4.4Ghz, Ram 16GB, SSD 512GB, Windows 11

498.00 439.00 Compra ora
-22%

NiPoGi Mini PC 8GB DDR4 + 256GB M.2 SSD, Mini Computer, AK1Plus 12th

179.00 139.00 Compra ora
-50%

Oral-B Spazzolino Elettrico Ricaricabile iO 3 Nero, 1 Testina Di Ricambio, 1 Custodia Da Viaggio +Dentifricio Pro-Science Advanced Rigenera Smalto Pulizia Quotidiana 75ml. 1 Spazzolino

119.99 59.99 Compra ora
11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Saturn10 Aprile 2024, 09:30 #1
"Nas esposti direttamente su Internet".

OK.

Ognuno avrà le proprie valide ragioni ma mi sembra veramente un azzardo tremendo di questi tempi...considerato che questi devices sono a livello di sicurezza il più delle volte delle vere e proprie "groviere" !
jepessen10 Aprile 2024, 09:37 #2
[cut]
Cfranco10 Aprile 2024, 09:40 #3
Originariamente inviato da: Saturn
"Nas esposti direttamente su Internet".


bonzoxxx10 Aprile 2024, 09:49 #4
Originariamente inviato da: Saturn
"Nas esposti direttamente su Internet".

OK.

Ognuno avrà le proprie valide ragioni ma mi sembra veramente un azzardo tremendo di questi tempi...considerato che questi devices sono a livello di sicurezza il più delle volte delle vere e proprie "groviere" !


In via del tutto teorica un NAS dovrebbe essere esposto su internet se si vuole usufruire di servizi di personal cloud/personal hosting e via dicendo, certo il rischio c'è sempre.

Io, per il momento, l'ho tolto e lo sto usando in locale anche se con synology sono relativamente sicuro, anche se la certezza al 100% non si può avere
noppy110 Aprile 2024, 09:58 #5
esposto a internet vuol dire accessibile da esso non che lui accede a internet , se devo usare uno spazio cloud e sincronizzarlo col mio NAS mi aspetto che il NAS sia il client del Cloud e non che il cloud contatti su una porta il mio NAS. Se hai bisogno di accedere al NAS da internet allora le VPN sono l'unica soluzione seria per la sicurezza
Cfranco10 Aprile 2024, 09:59 #6
Originariamente inviato da: bonzoxxx
In via del tutto teorica un NAS dovrebbe essere esposto su internet se si vuole usufruire di servizi di personal cloud/personal hosting e via dicendo, certo il rischio c'è sempre.


Direttamente su Internet mai
Puoi esporre alcuni servizi via proxy/firewall, non certo l' accesso alla web console, quelli sono 92.000 dispositivi gestiti col c*lo
djfix1310 Aprile 2024, 10:04 #7
ma non avete mai sentito parlare di NAS con client Torrent integrato? come farebbero a farlo se non avesse accesso ad internet?
così è attaccabile cmq e non serve una porta aperta per attaccarlo e anche con una VPN all'hacker non cambia perchè non vuole leggere i vostri dati ma solo usare il vostro HW
Saturn10 Aprile 2024, 10:06 #8
Originariamente inviato da: djfix13
ma non avete mai sentito parlare di NAS con client Torrent integrato? come farebbero a farlo se non avesse accesso ad internet?
così è attaccabile cmq e non serve una porta aperta per attaccarlo e anche con una VPN all'hacker non cambia perchè non vuole leggere i vostri dati ma solo usare il vostro HW


Si e personalmente NON LI USEREI a tal scopo neanche sotto tortura.

Poi il mondo è bello perchè è vario, ci mancherebbe.

E se proprio DOVESSI UTILIZZARLI in tal senso, per i torrent, non conterrebbero altro che i download in corso e nient'altro.

Certo nessun dato, personale, aziendale o di una MINIMA IMPORTANZA.

P.S. sul fatto che l' "hacker" non voglia curiosare sui ns. dati...c'è un grosso margine di dubbio se permetti...
Sig. Stroboscopico10 Aprile 2024, 10:57 #9
Per me più è lunga l'assistenza REALE più il prodotto vale.
Sarebbe sempre da qualificare di più come elemento importante nei test dei nuovi prodotti.
I NAS poi hanno vita molto lunga. Buttarli via ancora funzionanti è uno spreco.
marcram10 Aprile 2024, 10:57 #10
Mi viene un po' da ridere perché qualche tempo fa si parlava del caso dei minipc Acemagic, del presunto malware (non si sa se fosse effettivamente un malware o solo una personalizzazione non certificata) preinstallato (comunque risolvibile con formattazione), della possibilità che ci possano essere malware non rimovibili nel firmware/uefi di tali dispositivi cinesi, dell'incoscienza nell'affidare i propri dati a questi minipc...
Sentenza di molti, evitare i prodotti cinesi, affidarsi solo a marchi rinomati e conosciuti.
Ecco, ad esempio D-link, no?
« Pagina Precedente     Pagina Successiva »

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^