In befeiligingsprobleem is identifisearre yn D-Link netwurk opslach (CVE-2024-3273), wêrmei jo alle kommando's op it apparaat kinne útfiere mei in akkount foarôf definieare yn 'e firmware. Guon NAS-modellen makke troch D-Link wurde beynfloede troch it probleem, ynklusyf de DNS-340L, DNS-320L, DNS-327L en DNS-325. In scan fan it wrâldwide netwurk liet de oanwêzigens sjen fan mear as 92 tûzen aktive apparaten dy't gefoelich binne foar kwetsberens. D-Link is net fan doel in firmware-fernijing te publisearjen dy't it probleem reparearret, om't de apparaatstipesyklus al foltôge is. Brûkers wurde advisearre om problematyske apparaten te ferfangen troch nije modellen.
It probleem is dat it nas_sharing.cgi-skript sûnder autentikaasje tagonklik wurde kin troch it oanjaan fan de "umessagebus"-oanmelding mei in leech wachtwurd en it opjaan fan elk kommando dat moat wurde útfierd yn 'e parameter "systeem", kodearre yn base64-formaat. Bygelyks "/cgi-bin/nas_sharing.cgi?user=messagebus&passwd=&cmd=15&system=command".
Boarne: opennet.ru
