E Sécherheetsprobleem gouf an der D-Link Netzwierkspeicherung (CVE-2024-3273) identifizéiert, wat Iech erlaabt all Kommandoen um Apparat auszeféieren mat engem Kont virdefinéiert an der Firmware. E puer NAS Modeller fabrizéiert vun D-Link sinn vum Problem betraff, dorënner den DNS-340L, DNS-320L, DNS-327L an DNS-325. E Scan vum globalen Netzwierk huet d'Präsenz vu méi wéi 92 Tausend aktive Geräter gewisen, déi ufälleg fir Schwachstelle sinn. D-Link wëll net e Firmwareupdate publizéieren deen de Problem fixéiert, well den Apparat Support Zyklus scho fäerdeg ass. D'Benotzer ginn ugeroden problematesch Geräter mat neie Modeller ze ersetzen.
De Problem ass datt de Skript nas_sharing.cgi ouni Authentifikatioun zougänglech ass andeems Dir de Login "umessagebus" mat engem eidele Passwuert spezifizéiert an all Kommando spezifizéiert, deen am Parameter "System" ausgefouert gëtt, kodéiert am base64 Format. Zum Beispill "/cgi-bin/nas_sharing.cgi?user=messagebus&passwd=&cmd=15&system=command".
Source: opennet.ru
