Plus de 60 000 périphériques de stockage connectés au réseau D-Link qui ont atteint la fin de vie sont vulnérables à une vulnérabilité d’injection de commandes avec un exploit accessible au public.
La faille, suivie comme CVE-2024-10914, a un score de gravité critique de 9,2 et est présente dans la commande ‘cgi_user_add’ où le paramètre name n’est pas suffisamment assaini.
Un attaquant non authentifié pourrait l’exploiter pour injecter des commandes shell arbitraires en envoyant des requêtes HTTP GET spécialement conçues aux périphériques.
La faille affecte plusieurs modèles de périphériques de stockage en réseau (NAS) D-Link couramment utilisés par les petites entreprises:
- Version 1.00 du serveur DNS-320
- Mise à jour du DNS-320LW 1.01.0914.2012
- DNS-325 Version 1.01, Version 1.02 et versions ultérieures
- Version 1.08 du serveur DNS-340L
Dans un article technique qui fournit des détails sur l’exploit, le chercheur en sécurité Netsecfish indique que l’exploitation de la vulnérabilité nécessite l’envoi « d’une requête HTTP GET contrefaite au périphérique NAS avec une entrée malveillante dans le paramètre name.”
l’adresse URL « http: / / [Adresse IP cible] / cgi-bin / compte_mgr.cgi cmd = cgi_utilisateur_ajouter&nom=%27; < COMMANDE_COQUE INJECTÉE>;%27 »
“Cette requête curl construit une URL qui déclenche la commande cgi_user_add avec un paramètre name qui inclut une commande shell injectée”, explique le chercheur.
Une recherche effectuée par Netsecfish sur la plate-forme FOFA a renvoyé 61 147 résultats à 41 097 adresses IP uniques pour les périphériques D-Link vulnérables à CVE-2024-10914.
Dans un bulletin de sécurité publié aujourd’hui, D-Link a confirmé qu’un correctif pour CVE-2024-10914 n’est pas à venir et le fournisseur recommande aux utilisateurs de retirer les produits vulnérables.
Si cela n’est pas possible pour le moment, les utilisateurs devraient au moins les isoler de l’Internet public ou les placer dans des conditions d’accès plus strictes.
Le même chercheur a découvert en avril de cette année une faille arbitraire d’injection de commandes et de porte dérobée codée en dur, identifiée comme CVE-2024-3273, affectant principalement les mêmes modèles de NAS D-Link que la dernière faille.
À l’époque, les analyses Internet FOFA ont renvoyé 92 589 résultats.
En réponse à la situation à l’époque, un porte-parole de D-Link a déclaré à Breachtrace que l’entreprise de mise en réseau ne fabriquait plus de périphériques NAS et que les produits concernés avaient atteint leur fin de vie et ne recevraient pas de mises à jour de sécurité.