​Les attaquants ciblent désormais activement plus de 92 000 périphériques de stockage en réseau (NAS) D-Link en fin de vie exposés en ligne et non corrigés contre une faille critique d’exécution de code à distance (RCE) zero-day.

Comme Breachtrace l’a signalé pour la première fois samedi, cette faille de sécurité (CVE-2024-3273) est le résultat d’une porte dérobée facilitée par un compte codé en dur (nom d’utilisateur « messagebus » avec un mot de passe vide) et d’un problème d’injection de commande via le paramètre « system ».

Les acteurs de la menace enchaînent désormais ces deux failles de sécurité pour déployer une variante du malware Mirai (skid.x86). Les variantes Mirai sont généralement conçues pour ajouter des périphériques infectés à un botnet qui peut être utilisé dans des attaques par déni de service distribué (DDoS) à grande échelle.

Ces attaques ont débuté lundi, comme l’ont observé la firme de cybersécurité GreyNoise et la plateforme de surveillance des menaces ShadowServer. Deux semaines plus tôt, le chercheur en sécurité Netsecfish a révélé la vulnérabilité après que D-Link l’ait informé que ces appareils en fin de vie ne seraient pas corrigés.

« La vulnérabilité décrite affecte plusieurs périphériques NAS D-Link, y compris les modèles DNS-340L, DNS-320L, DNS-327L et DNS-325, entre autres », explique Netsecfish.

« L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant d’exécuter des commandes arbitraires sur le système, ce qui pourrait entraîner un accès non autorisé à des informations sensibles, une modification des configurations du système ou des conditions de déni de service. »

Périphériques NAS D-Link vulnérables exposés en ligne

​Lorsqu’on lui a demandé si des mises à jour de sécurité seraient publiées pour corriger cette vulnérabilité zero-day, D-Link a également déclaré à Breachtrace qu’ils ne prenaient plus en charge ces périphériques NAS en fin de vie (EOL).

« Tout le stockage connecté au réseau D-Link est en fin de vie et de durée de vie depuis de nombreuses années [et] les ressources associées à ces produits ont cessé leur développement et ne sont plus prises en charge », a déclaré un porte-parole de D-Link à Breachtrace .

« D-Link recommande de retirer ces produits et de les remplacer par des produits qui reçoivent des mises à jour du micrologiciel. »

Le porte-parole a ajouté que ces périphériques NAS ne disposent pas de capacités de mise à jour automatique en ligne ou de livraison d’alertes, ce qui rend impossible d’informer les propriétaires de ces attaques en cours.

Après la divulgation, D-Link a publié jeudi un avis de sécurité pour informer les propriétaires de la vulnérabilité de sécurité et leur conseiller de retirer ou de remplacer les appareils concernés dès que possible.

Il a également créé une page de support pour les appareils hérités, avertissant les propriétaires d’appliquer les dernières mises à jour de sécurité et de micrologiciel disponibles sur le site Web de support hérité, bien que cela ne protégerait pas leurs appareils contre les attaquants.

« Si les consommateurs américains continuent d’utiliser ces appareils contre la recommandation de D-Link, veuillez vous assurer que l’appareil dispose du dernier micrologiciel connu », a averti D-Link.

Ce que D-Link n’a pas dit, c’est que les périphériques NAS ne devraient pas être exposés en ligne car ils sont généralement ciblés par des attaques de ransomware pour voler ou crypter des données.

Au cours des derniers mois, d’autres appareils D-Link (dont certains sont également en fin de vie) ont été ciblés par plusieurs botnets DDoS basés sur Mirai (l’un d’eux étant suivi comme IZ1H9). Leurs propriétaires travaillent continuellement à étendre leurs capacités, en ajoutant de nouveaux exploits et de nouvelles cibles à attaquer.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *