D-Link ne corrigera pas une faille critique affectant 60 000 anciens appareils NAS

Plus de 60 000 périphériques de stockage en réseau D-Link qui ont atteint leur fin de vie sont vulnérables à une vulnérabilité d’injection de commande avec un exploit accessible au public.

La faille, suivie comme CVE-2024-10914a un score de gravité critique de 9,2 et est présent dans la commande ‘cgi_user_add’ où le paramètre name n’est pas suffisamment nettoyé.

Un attaquant non authentifié pourrait l’exploiter pour injecter des commandes shell arbitraires en envoyant des requêtes HTTP GET spécialement conçues aux appareils.

Publicité

La faille affecte plusieurs modèles de périphériques de stockage en réseau (NAS) D-Link couramment utilisés par les petites entreprises :

  • DNS-320 version 1.00
  • DNS-320LW Version 1.01.0914.2012
  • DNS-325 Version 1.01, Version 1.02
  • DNS-340L Version 1.08

    • Dans un article technique qui fournit des détails sur l’exploit, le chercheur en sécurité Netsecfish affirme que l’exploitation de la vulnérabilité nécessite l’envoi « d’une requête HTTP GET contrefaite au périphérique NAS avec une entrée malveillante dans le paramètre de nom ».

    curl "http://[Target-IP]/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;;%27" 

    « Cette requête curl construit une URL qui déclenche la commande cgi_user_add avec un paramètre de nom qui inclut une commande shell injectée », explique le chercheur.

    Une recherche effectuée par Netsecfish sur la plateforme FOFA a renvoyé 61 147 résultats sur 41 097 adresses IP uniques pour les appareils D-Link vulnérables au CVE-2024-10914.

    Résultats de l'analyse FOFA pour les périphériques NAS D-Link exposés
    Résultats de l’analyse FOFA pour les périphériques NAS D-Link exposés Source : Netsecfish

    Dans un bulletin de sécurité aujourd’hui, D-Link a confirmé qu’un correctif pour CVE-2024-10914 n’était pas disponible et le fournisseur recommande aux utilisateurs de retirer les produits vulnérables.

    Si cela n’est pas possible pour le moment, les utilisateurs devraient au moins les isoler de l’Internet public ou les soumettre à des conditions d’accès plus strictes.

    Le même chercheur a découvert en avril de cette année une faille d’injection de commandes arbitraires et une faille de porte dérobée codée en dur, identifiée comme CVE-2024-3273, affectant principalement les mêmes modèles de NAS D-Link que la dernière faille.

    À l’époque, les analyses Internet FOFA renvoyaient 92 589 résultats.

    En réponse à la situation à l’époque, un porte-parole de D-Link a déclaré à BleepingComputer que la société de réseau ne fabrique plus de périphériques NAS et que les produits concernés avaient atteint la fin de vie et ne recevraient pas de mises à jour de sécurité.

5/5 - (109 votes)
Publicité
Article précédentLes précommandes du coffret de 40 films Criterion Collection sont à 50 % de réduction avant la sortie du 19 novembre
Article suivant« Tout ce que tu veux Ben » : à l’intérieur de la relation intime de Ben Horowitz avec le département de police de Las Vegas
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici