Les attaquants ciblent désormais une vulnérabilité de gravité critique avec un code d’exploitation accessible au public qui affecte plusieurs modèles de périphériques de stockage en réseau (NAS) D-Link en fin de vie.
Identifiée sous le numéro CVE-2024-10914, la vulnérabilité d’injection de commandes a été découverte par le chercheur en sécurité Netsecfish, qui a également partagé des détails d’exploitation et a déclaré que des attaquants non authentifiés pouvaient l’exploiter pour injecter des commandes shell arbitraires en envoyant des requêtes HTTP GET malveillantes à des périphériques NAS vulnérables exposés en ligne.
La liste des modèles de NAS des périphériques concernés comprend DNS-320 Version 1.00, DNS-320LW Version 1.01.0914.2012, DNS-325 Version 1.01, Version 1.02 et DNS-340L Version 1.08.
Les attaques ont commencé après que D-Link a déclaré vendredi qu’il ne corrigerait pas la faille de sécurité car elle n’affectait que les modèles de NAS en fin de vie, avertissant les clients de retirer les appareils concernés ou de les mettre à niveau vers des produits plus récents.
« Les produits qui ont atteint leur fin de vie/EOS ne reçoivent plus les mises à jour logicielles et les correctifs de sécurité de l’appareil et ne sont plus pris en charge par D-Link. D-Link US recommande de retirer et de remplacer les appareils D-Link qui ont atteint la fin de vie / EOS », a déclaré la société.
Cependant, comme le service de surveillance des menaces Shadowserver l’a découvert, les auteurs de menaces en ont pris note et ont commencé à cibler la vulnérabilité lundi.
« Nous avons observé des NAS CVE D-Link-2024-10914 /cgi-bin / compte_mgr.tentatives d’exploitation par injection de commandes cgi à partir du 12 novembre. Cette vulnérabilité affecte les appareils EOL / EOS, qui devraient être supprimés d’Internet », a averti Shadowserver.
Alors que Shadowserver a déclaré avoir repéré un peu plus de 1 100 périphériques NAS D-Link exposés à Internet, Netsecfish a déclaré avoir trouvé plus de 41 000 adresses IP uniques en ligne utilisées par des périphériques vulnérables lors d’une analyse Internet avec la plate-forme FOFA de Huashun Xin’an.
En avril, Netsecfish a également signalé une porte dérobée codée en dur et une faille d’injection de commande arbitraire-affectant presque les mêmes modèles de NAS D-Link et collectivement suivis en tant que CVE-2024-3273—cela peut être enchaîné pour exécuter des commandes sur l’appareil à distance.
Comme l’a déclaré un porte-parole de D-Link à Breachtrace en avril, les périphériques NAS concernés ne disposent pas de capacités de mise à jour automatique ni de fonctionnalités de sensibilisation des clients pour envoyer des alertes. Par conséquent, il est conseillé à ceux qui utilisent des appareils en fin de vie de restreindre l’accès à Internet dès que possible, car ils ont déjà été ciblés par des attaques de ransomware dans le passé.
« En règle générale, D-Link ne peut pas résoudre les problèmes de périphérique ou de micrologiciel pour ces produits puisque tout le développement et le support client ont cessé », a noté la société vendredi.
« D-Link recommande vivement de retirer ce produit et avertit qu’une utilisation ultérieure peut être risquée pour les appareils connectés. Si les consommateurs américains continuent d’utiliser ces appareils contre la recommandation de D-Link, veuillez vous assurer que l’appareil dispose du dernier micrologiciel. »