D-Link ปฎิเสธการแก้ไขช่องโหว่ระดับ Critical ที่ส่งผลต่ออุปกรณ์ NAS ที่ End-of-Life กว่า 60,000 เครื่อง

D-Link รายงานการพบอุปกรณ์ D-Link Network-Attached Storage (NAS) ที่หมดอายุการใช้งานแล้ว (End-of-Life) มากกว่า 60,000 รายการ มีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ที่ถูกเปิดเผยออกสู่สาธารณะแล้ว

CVE-2024-10914 (คะแนน CVSS 9.2/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ใน 'cgi_user_add' command ซึ่งเป็น parameter ที่ไม่ได้รับการตรวจสอบอย่างเหมาะสม ซึ่งอาจทำให้ Hacker สามารถ inject เพื่อแทรก shell command โดยการส่ง HTTP GET requests ที่สร้างขึ้นมาเป็นพิเศษไปยังอุปกรณ์

ช่องโหว่ดังกล่าวมีผลกระทบต่อ D-Link Network-Attached Storage (NAS) หลายรุ่นที่ธุรกิจขนาดเล็กมักใช้กันทั่วไป :

  • DNS-320 เวอร์ชัน 1.00
  • DNS-320LW เวอร์ชัน 1.01.0914.2012
  • DNS-325 เวอร์ชัน 1.01, เวอร์ชัน 1.02
  • DNS-340L เวอร์ชัน 1.08

ในรายงานเชิงเทคนิคที่ให้รายละเอียดการโจมตีช่องโหว่ นักวิจัยด้านความปลอดภัย Netsecfish ระบุว่า การโจมตีช่องโหว่นี้จำเป็นต้องส่ง HTTP GET requests ที่สร้างขึ้นไปยังอุปกรณ์ NAS โดยมี input ที่เป็นอันตรายใน parameter ชื่อ

curl "[http://[Target-IP]/cgi-bin/account_mgr.cgi|http://[target-ip]/cgi-bin/account_mgr.cgi] cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27"

โดย curl request นี้สร้าง URL ที่ทริกเกอร์คำสั่ง cgi_user_add ซึ่งมีชื่อ parameter ที่ inject เพื่อแทรก shell command เข้าไปด้วย

ทั้งนี้จากการค้นหาบนแพลตฟอร์ม FOFA แสดงผลลัพธ์ 61,147 รายการ โดยเป็น IP address ไม่ซ้ำกัน 41,097 รายการ สำหรับอุปกรณ์ D-Link ที่มีช่องโหว่ CVE-2024-10914

D-Link ได้ยืนยันว่าจะไม่มีการแก้ไขช่องโหว่ CVE-2024-10914 เนื่องจากอุปกรณ์ D-Link Network-Attached Storage (NAS) ดังกล่าว หมดอายุการใช้งานแล้ว (End-of-Life) และปัจจุบันทาง D-Link ก็ไม่ได้ผลิตอุปกรณ์ Network-Attached Storage (NAS) แล้ว

โดยทาง D-Link ได้แนะนำให้ผู้ใช้งานเลิกใช้ผลิตภัณฑ์ที่มีความเสี่ยงจากช่องโหว่ดังกล่าว ซึ่งหากยังไม่สามารถทำได้ก็แนะนำให้ผู้ใช้ปิดการเข้าถึงจากอินเทอร์เน็ต หรือเพิ่มเงื่อนไขการเข้าถึงที่เข้มงวดยิ่งขึ้น

รวมถึงนักวิจัยกลุ่มดังกล่าว ได้ค้นพบการโจมตีแบบ arbitrary command injection และ hardcoded backdoor ในช่องโหว่ CVE-2024-3273 ซึ่งโดยส่วนใหญ่ส่งผลกระทบต่ออุปกรณ์ NAS ของ D-Link เช่นเดียวกับช่องโหว่ดังกล่าว

ที่มา : bleepingcomputer