🛡️ Hơn 92.000 thiết bị NAS D-Link bị lộ có tài khoản cửa hậu ( backdoor ) | #TEKNews by TUNGTEK

Published by TUNGTEK Tùng 🌥️, April 6th, 2024

📌 Lưu trữ: Evernote

📌 Lưu trữ: TEKPost / TEKPost81

📌 Bài viết gốc: BeepingComputer

Sưu tầm từ BeepingComputer & dịch bởi Google Dịch.

Một nhà nghiên cứu mối đe dọa đã tiết lộ một ổ chèn tùy ý mới và ổ cửa sau được mã hóa cứng trong nhiều mẫu thiết bị Lưu trữ đính kèm mạng D-Link (NAS) đã hết vòng đời.

Nhà nghiên cứu đã phát hiện ra ổ ổ "Netsecfish" giải thích rằng sự cố nằm trong tập lệnh '/cgi-bin/nas_sharing.cgi', ảnh hưởng đến thành phần Trình xử lý yêu cầu HTTP GET của nó.

Hai vấn đề chính gây ra lỗi ổ được theo dõi là CVE-2024-3273 , là một cửa sổ sau được tạo điều kiện thông qua một tài khoản được mã hóa cứng (tên người dùng: "messagebus" và trống mật khẩu ) và giải quyết vấn đề chèn thông số "system".

Khi được kết nối với nhau, bất kỳ kẻ tấn công nào cũng có thể thực thi các lệnh từ xa trên thiết bị.

Lỗi chèn lệnh phát từ việc bổ sung lệnh được mã hóa base64 vào "hệ thống" thông tin số theo yêu cầu HTTP GET, sau đó lệnh này được thực thi.

Ví dụ về yêu cầu độc hại (Netsecfish|GitHub)

Nhà nghiên cứu cảnh báo: "Việc khai thác thành công ổ ổ này có thể cho phép tấn công thực thi các tùy chọn lệnh trên hệ thống, có khả năng dẫn đến quyền truy cập trái phép vào thông tin nhạy cảm, sửa đổi cấu hình hệ thống hoặc từ chối các dịch vụ điều kiện".

Các mẫu thiết bị bị ảnh hưởng bởi CVE-2024-3273 là:

DNS-320L Phiên bản 1.11, Phiên bản 1.03.0904.2013, Phiên bản 1.01.0702.2013
DNS-325 Phiên bản 1.01
DNS-327L Phiên bản 1.09, Phiên bản 1.00.0409.2013
DNS-340L Phiên bản 1.08

Netsecfish cho biết quá trình quét mạng cho thấy hơn 92.000 thiết bị NAS D-Link dễ dàng tấn công trực tuyến và dễ dàng tấn công thông qua các ổ khóa này.

Kết quả quét Internet (Netsecfish|GitHub)

Không có bản sửa lỗi nào

Sau khi liên hệ với D-Link về ổ bụng và bản vá được phát hiện hay không, nhà cung cấp cho chúng tôi biết rằng các thiết bị NAS này đã hết vòng đời (EOL) và không được hỗ trợ.

Người phát ngôn cho biết: "Tất cả các bộ lưu trữ tệp đính kèm của Mạng D-Link đã hết tuổi thọ và thời hạn sử dụng trong nhiều năm [và] các tài nguyên liên quan đến các sản phẩm này đã không ngừng phát triển và không vẫn được hỗ trợ".

"D-Link khuyên bạn nên ngừng sử dụng các sản phẩm này và thay vào đó chúng sẽ nhận được bản cập nhật org của cơ sở sản phẩm."

Người phát ngôn cũng nói với BleepingComputer rằng các thiết bị bị ảnh hưởng không có khả năng tự động cập nhật trực tuyến hoặc các tính năng tiếp cận khách hàng để gửi thông báo, giống như các mẫu hiện tại.

Do đó, nhà cung cấp bị giới hạn trong một bản tin bảo mật được xuất bản ngày hôm nay để nâng cao nhận thức về ổ bụng và nhu cầu liên tục hoạt động hoặc thay thế các thiết bị đó ngay lập tức.

D-Link đã thiết lập một trang dành riêng hỗ trợ hỗ trợ cho các thiết bị cũ , nơi chủ sở hữu có thể điều hướng các kho lưu trữ để tìm các bản cập nhật org của chương trình cơ sở dữ liệu và bảo mật mới nhất.

Những người sẵn sàng sử dụng phần cứng gặp lỗi ít nhất là nên áp dụng các bản cập nhật or mới nhất hiện có, ngay khi các bản cập nhật or không giải quyết được các vấn đề mới được phát hiện như CVE-2024-3273.

Hơn nữa, các thiết bị NAS không được tiếp tục căng thẳng với Internet vì chúng thường được đánh cắp dữ liệu hoặc mã hóa mục tiêu trong các cuộc tấn công bằng ransomware .

Sưu tấm bởi TUNGTEK | 06.04.24

TEKPost

🛡️ Hơn 92.000 thiết bị NAS D-Link bị lộ có backdoor | #TEKPost81

➖➖➖➖➖

▪️ Nhiều khi trang bị bảo mật cho hệ thống full giáp nhưng......nhà có cục D-Link 😁

📌 TEKPost : https://tek.tungtek.com/post/hon-92-000-thiet-bi-nas-d-link-bi-lo-co-tai-khoan-cua-hau-backdoor-teknews-by-tungtek

➖➖➖➖➖

𝐓𝐔𝐍𝐆𝐓𝐄𝐊 - 𝐈𝐓 & 𝐂𝐥𝐨𝐮𝐝 𝐒𝐞𝐫𝐯𝐢𝐜𝐞𝐬 🌥️ - 𝐇𝐨𝐭𝐥𝐢𝐧𝐞 𝟎𝟗𝟔𝟑𝟓𝟎𝟗𝟏𝟏𝟓

#Ransomware #TBackup #KhoiPhucDuLieu #CuuDuLieu #Recovery #TRecovery #NoRansomwareVN #TUNGTEK