D-Linkin verkkoon kytketyissä tallennuslaitteissa (NAS) on tunnistettu tietoturvahaavoittuvuus (CVE-2024-3273), joka sallii mielivaltaisten komentojen suorittamisen laitteella käyttämällä laiteohjelmistolla määritettyä tiliä. Haavoittuvuus vaikuttaa tiettyihin D-Linkin NAS-malleihin, mukaan lukien DNS-340L, DNS-320L, DNS-327L ja DNS-325. Maailmanlaajuinen verkkotarkistus paljasti yli 92 000 aktiivista laitetta, joihin haavoittuvuus vaikuttaa. D-Link ei aio julkaista laiteohjelmistopäivitystä haavoittuvuuden korjaamiseksi, koska laitteiden tukijakso on päättynyt. Käyttäjiä kehotetaan vaihtamaan haavoittuvat laitteet uudempiin malleihin.
Ongelmana on, että nas_sharing.cgi-skriptiin pääsee käsiksi ilman todennusta määrittämällä käyttäjätunnukseksi "umessagebus" tyhjän salasanan ja määrittämällä minkä tahansa suoritettavan komennon "system"-parametriin base64-muodossa koodattuna. Esimerkiksi "/cgi-bin/nas_sharing.cgi?user=messagebus&passwd=&cmd=15&system=command".
Lähde: opennet.ru
