Un chercheur en menaces a révélé une nouvelle faille d’injection de commande arbitraire et de porte dérobée codée en dur dans plusieurs modèles de périphériques de stockage en réseau (NAS) D-Link en fin de vie.
Le chercheur qui a découvert la faille, « Netsecfish », explique que le problème réside dans le partage / cgi-bin / nas_sharing.script cgi, impactant son composant de gestionnaire de requêtes HTTP GET.
Les deux principaux problèmes contribuant à la faille, suivis comme CVE-2024-3273, sont une porte dérobée facilitée par un compte codé en dur (nom d’utilisateur: « messagebus » et mot de passe vide) et un problème d’injection de commande via le paramètre « system ».
Lorsqu’ils sont enchaînés, tout attaquant peut exécuter à distance des commandes sur l’appareil.
Le défaut d’injection de commande provient de l’ajout d’une commande codée en base64 au paramètre « system » via une requête HTTP GET, qui est ensuite exécutée.
« Une exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant d’exécuter des commandes arbitraires sur le système, entraînant potentiellement un accès non autorisé à des informations sensibles, une modification des configurations du système ou des conditions de déni de service », prévient le chercheur.
Les modèles d’appareils concernés par CVE-2024-3273 sont:
- DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013 et versions ultérieures
- Version 1.01 du DNS-325
- DNS-327L Version 1.09, Version 1.00.0409.2013 et versions ultérieures
- Version 1.08 du serveur DNS-340L
Netsecfish indique que les analyses du réseau montrent plus de 92 000 périphériques NAS D-Link vulnérables exposés en ligne et susceptibles d’être attaqués par ces failles.
Pas de correctifs disponibles
Après avoir contacté D-Link à propos de la faille et de la publication d’un correctif, le fournisseur nous a dit que ces périphériques NAS avaient atteint la fin de vie (EOL) et ne sont plus pris en charge.
« Tout le stockage connecté au réseau D-Link est en fin de vie et de durée de vie depuis de nombreuses années [et] les ressources associées à ces produits ont cessé leur développement et ne sont plus prises en charge », a déclaré le porte-parole.
« D-Link recommande de retirer ces produits et de les remplacer par des produits qui reçoivent des mises à jour du micrologiciel. »
Le porte-parole a également déclaré à Breachtrace que les appareils concernés ne disposaient pas de capacités de mise à jour automatique en ligne ni de fonctionnalités de sensibilisation des clients pour envoyer des notifications, comme les modèles actuels.
Par conséquent, le fournisseur s’est limité à un bulletin de sécurité publié hier pour sensibiliser à la faille et à la nécessité de retirer ou de remplacer ces appareils immédiatement.
D-Link a mis en place une page d’assistance dédiée pour les appareils hérités où les propriétaires peuvent parcourir les archives pour trouver les dernières mises à jour de sécurité et de micrologiciel.
Ceux qui insistent pour utiliser du matériel obsolète devraient au moins appliquer les dernières mises à jour disponibles, même si celles-ci ne résoudront pas les problèmes nouvellement découverts comme CVE-2024-3273.
De plus, les périphériques NAS ne doivent jamais être exposés à Internet car ils sont généralement ciblés pour voler des données ou chiffrer des attaques de ransomware.