Un chercheur en menaces a révélé une nouvelle faille d’injection de commande arbitraire et de porte dérobée codée en dur dans plusieurs modèles de périphériques de stockage en réseau (NAS) D-Link en fin de vie.

Le chercheur qui a découvert la faille, « Netsecfish », explique que le problème réside dans le partage / cgi-bin / nas_sharing.script cgi, impactant son composant de gestionnaire de requêtes HTTP GET.

Les deux principaux problèmes contribuant à la faille, suivis comme CVE-2024-3273, sont une porte dérobée facilitée par un compte codé en dur (nom d’utilisateur: « messagebus » et mot de passe vide) et un problème d’injection de commande via le paramètre « system ».

Lorsqu’ils sont enchaînés, tout attaquant peut exécuter à distance des commandes sur l’appareil.

Le défaut d’injection de commande provient de l’ajout d’une commande codée en base64 au paramètre « system » via une requête HTTP GET, qui est ensuite exécutée.

Exemple de requête malveillante

« Une exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant d’exécuter des commandes arbitraires sur le système, entraînant potentiellement un accès non autorisé à des informations sensibles, une modification des configurations du système ou des conditions de déni de service », prévient le chercheur.

Les modèles d’appareils concernés par CVE-2024-3273 sont:

  • DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013 et versions ultérieures
  • Version 1.01 du DNS-325
  • DNS-327L Version 1.09, Version 1.00.0409.2013 et versions ultérieures
  • Version 1.08 du serveur DNS-340L

Netsecfish indique que les analyses du réseau montrent plus de 92 000 périphériques NAS D-Link vulnérables exposés en ligne et susceptibles d’être attaqués par ces failles.

Résultats de l’analyse Internet

Pas de correctifs disponibles
Après avoir contacté D-Link à propos de la faille et de la publication d’un correctif, le fournisseur nous a dit que ces périphériques NAS avaient atteint la fin de vie (EOL) et ne sont plus pris en charge.

« Tout le stockage connecté au réseau D-Link est en fin de vie et de durée de vie depuis de nombreuses années [et] les ressources associées à ces produits ont cessé leur développement et ne sont plus prises en charge », a déclaré le porte-parole.

« D-Link recommande de retirer ces produits et de les remplacer par des produits qui reçoivent des mises à jour du micrologiciel. »

Le porte-parole a également déclaré à Breachtrace que les appareils concernés ne disposaient pas de capacités de mise à jour automatique en ligne ni de fonctionnalités de sensibilisation des clients pour envoyer des notifications, comme les modèles actuels.

Par conséquent, le fournisseur s’est limité à un bulletin de sécurité publié hier pour sensibiliser à la faille et à la nécessité de retirer ou de remplacer ces appareils immédiatement.

D-Link a mis en place une page d’assistance dédiée pour les appareils hérités où les propriétaires peuvent parcourir les archives pour trouver les dernières mises à jour de sécurité et de micrologiciel.

Ceux qui insistent pour utiliser du matériel obsolète devraient au moins appliquer les dernières mises à jour disponibles, même si celles-ci ne résoudront pas les problèmes nouvellement découverts comme CVE-2024-3273.

De plus, les périphériques NAS ne doivent jamais être exposés à Internet car ils sont généralement ciblés pour voler des données ou chiffrer des attaques de ransomware.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *