D-Link odmítá řešit kritickou zranitelnost NAS úložišť, uživatelům doporučuje jejich vyřazení
Společnost D-Link potvrdila, že se už zranitelností s označením CVE-2024-10914 nehodlá dále zabývat, a to i přesto, že je označena jako kritická se skóre 9,2. Zároveň uživatelům dotčených produktů doporučila, aby zranitelná zařízení vyřadili a dále je nepoužívali.
Pokud to není z jakýchkoliv důvodů možné, měli by je uživatelé alespoň izolovat od veřejného internetu nebo jim nastavit přísnější podmínky přístupu.
Popsaná bezpečnostní díra útočníkům umožňuje spustit libovolný příkaz, a to kvůli zmanipulovaným požadavkům HTTP Get. Na bezpečnostní platformě FOFA bylo už dříve nalezeno více než 41 000 unikátních IP adres dotčených zařízení, kterých se to týká. Společnost D-Link sdělila, že pro tato zařízení nebudou vydány žádné bezpečnostní aktualizace.
Mohlo by vás zajímat
Zranitelnost síťových úložišť NAS od D-Linku: Starší modely bez bezpečnostních aktualizací
Chyba se týká několika modelů síťových úložišť NAS, které se běžně používaly v malých firmách, ale i domácnostech. Jde především o následující modely:
- DNS-320 Version 1.00
- DNS-320LW Version 1.01.0914.2012
- DNS-325 Version 1.01, Version 1.02
- DNS-340L Version 1.08
Mohlo by vás zajímat
V technickém popisu o podrobnostech zneužití se uvádí, že útočníci mohou zařízení zneužít odesláním speciálně vytvořeného požadavku HTTP Get, který má zmanipulovaný škodlivý vstup v parametru "name".
D-Link k celé věci také dodal, že již nadále síťová NAS úložiště nevyrábí, stávající dotčené produkty dosáhly konce svého životního cyklu a nebudou nadále dostávat žádné bezpečnostní aktualizace.
Zdroj: Bleeping Computer, NVD
