D-Link நெட்வொர்க் இணைக்கப்பட்ட சேமிப்பக சாதனங்களில் (NAS) ஒரு பாதுகாப்பு பாதிப்பு (CVE-2024-3273) அடையாளம் காணப்பட்டுள்ளது, இது ஃபார்ம்வேர் வரையறுக்கப்பட்ட கணக்கைப் பயன்படுத்தி சாதனத்தில் தன்னிச்சையான கட்டளைகளை செயல்படுத்த அனுமதிக்கிறது. இந்த பாதிப்பு DNS-340L, DNS-320L, DNS-327L மற்றும் DNS-325 உள்ளிட்ட சில D-Link NAS மாதிரிகளைப் பாதிக்கிறது. உலகளாவிய நெட்வொர்க் ஸ்கேன் மூலம் 92 க்கும் மேற்பட்ட செயலில் உள்ள சாதனங்கள் பாதிப்பால் பாதிக்கப்பட்டுள்ளன என்பது தெரியவந்தது. சாதனங்கள் அவற்றின் ஆதரவு சுழற்சியின் முடிவை எட்டியுள்ளதால், பாதிப்பை நிவர்த்தி செய்ய ஃபார்ம்வேர் புதுப்பிப்பை வெளியிட D-Link விரும்பவில்லை. பாதிக்கப்பட்ட சாதனங்களை புதிய மாடல்களுடன் மாற்ற பயனர்கள் அறிவுறுத்தப்படுகிறார்கள்.
சிக்கல் என்னவென்றால், "umessagebus" என்ற பயனர்பெயரை வெற்று கடவுச்சொல்லுடன் குறிப்பிடுவதன் மூலமும், base64 வடிவத்தில் குறியிடப்பட்ட "system" அளவுருவில் செயல்படுத்த எந்த கட்டளையையும் குறிப்பிடுவதன் மூலமும் nas_sharing.cgi ஸ்கிரிப்டை அங்கீகாரம் இல்லாமல் அணுக முடியும். எடுத்துக்காட்டாக, "/cgi-bin/nas_sharing.cgi?user=messagebus&passwd=&cmd=15&system=command."
ஆதாரம்: opennet.ru
