Notebookcheck Logo

La soluzione di D-Link alla vulnerabilità critica del NAS: Acquistare un nuovo hardware

D-Link non ha fretta di patchare una vulnerabilità critica del NAS (Fonte: D-Link)
D-Link non ha fretta di patchare una vulnerabilità critica del NAS (Fonte: D-Link)
È stata scoperta una vulnerabilità critica di iniezione di comandi in diversi dispositivi NAS D-Link, che rappresenta un rischio di sicurezza elevato a causa della mancanza di protezioni di autenticazione. D-Link ha rifiutato di rilasciare patch di sicurezza per i modelli interessati, che hanno raggiunto lo stato di fine vita nel 2020, raccomandando invece agli utenti di sostituire completamente i loro dispositivi. Gli esperti consigliano di isolare questi dispositivi dalle reti pubbliche e di implementare controlli di accesso rigorosi.

Il ricercatore di sicurezza Netsecfish ha scoperto una grave vulnerabilità di iniezione di comandi che colpisce migliaia di vecchi dispositivi NAS (Network Attached Storage) di D-Link. La falla, rintracciata come CVE-2024-10914 nel National Vulnerability Database (NVD), ha un punteggio di gravità critica di 9.2 e rappresenta un rischio significativo per gli utenti che si affidano ancora a questi dispositivi a fine vita.

La vulnerabilità risiede nella funzionalità del comando 'cgi_user_add', in particolare nel parametro 'name', che manca di una corretta sanitizzazione dell'input. Ciò che rende questa falla particolarmente pericolosa è che può essere sfruttata senza autenticazione, consentendo agli aggressori di iniettare comandi di shell arbitrari attraverso richieste HTTP GET modificate.

Il seguente D-Link sono interessati dal problema:

  • D-Link DNS-320 Versione 1.00
  • D-Link DNS-320LW Versione 1.01.0914.2012
  • D-Link DNS-325 Versioni 1.01 e 1.02
  • D-Link DNS-340L Versione 1.08

La scansione FOFA di Netsecfish dei modelli NAS interessati ha rivelato 61.147 risultati con 41.097 indirizzi IP unici. Sebbene l'NVD suggerisca che la complessità dell'attacco è elevata, gli aggressori esperti potrebbero potenzialmente sfruttare questi dispositivi vulnerabili se esposti alla rete Internet pubblica.

Sfortunatamente, D-Link ha dichiarato che non rilascerà una patch, affermando che questi modelli hanno tutti raggiunto il loro fine vita/fine servizio (EOL/EOS) a partire dal 2020. In una dichiarazione, D-Link ha raccomandato agli utenti di ritirare o sostituire questi dispositivi, poiché non saranno forniti ulteriori aggiornamenti software o patch di sicurezza.

Gli esperti di sicurezza hanno delineato diverse misure provvisorie per gli utenti che non possono sostituire immediatamente i dispositivi NAS D-Link interessati. Innanzitutto, consigliano vivamente di isolare questi dispositivi dall'accesso pubblico a Internet per ridurre al minimo l'esposizione a potenziali attacchi. Inoltre, le organizzazioni dovrebbero implementare misure rigorose di controllo degli accessi, limitando l'accesso al dispositivo solo agli indirizzi IP affidabili e agli utenti autorizzati. Per coloro che cercano soluzioni alternative, gli esperti suggeriscono di esplorare opzioni di firmware di terze parti, anche se sottolineano l'importanza di ottenere tale firmware solo da fonti affidabili e verificate. Tuttavia, queste misure devono essere considerate soluzioni temporanee e gli utenti sono invitati a sviluppare ed eseguire piani per sostituire questi dispositivi vulnerabili non appena possibile.

Please share our article, every link counts!
Mail Logo
> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2024 11 > La soluzione di D-Link alla vulnerabilità critica del NAS: Acquistare un nuovo hardware
Andrew Sozinov, 2024-11-10 (Update: 2024-11-10)