Over 92,000 Internet-Facing D-Link NAS Devices Can Be Easily Hacked
2024/04/07 SecurityAffairs — D-Link NAS の、複数の製造終了デバイス・モデルに影響を与える新たな脆弱性 CVE-2024-3273 を、Netsecfish というニックネームで呼ばれている研究者が公表した。この脆弱性が悪用されると、任意のコマンドのインジェクションや、ハードコードされたバックドアにいたるとされる。この脆弱性は、D-Link NAS デバイスに影響を及ぼすが、その中にはモデル DNS-340L/DNS-320L/DNS-327L/DNS-325 などが含まれる。
この脆弱性は nas_sharing.cgi URI に存在するものであり、ハードコードされた認証情報によるバックドアと、システム・パラメータを介したコマンド・インジェクションが、この研究者により発見されたという。
この脆弱性の悪用に成功した攻撃者は、影響を受ける D-Link NAS デバイス上でコマンドを実行することで、機密情報へのアクセス/システム・コンフィグの変更/サービス拒否などを引き起こせるという。
インターネットに露出する 92,000台以上のデバイスに脆弱性が存在すると、Netsecfish は報告している。
以下のリクエストには、”user=messagebus” と “passwd=” が含まれるが、後者は空のフィールドを取り込んでいる。このトリックにより、攻撃者は認証をバイパスできるという。このコマンド・インジェクションの問題は、HTTP GET リクエストのシステム・パラメータに、base64 エンコードされたコマンドを追加することで実現される。そして、このコマンドがデコードされ、実行されていく。
Netsecfish は、「この脆弱性の悪用に成功した攻撃者は、システム上で任意のコマンドを実行できるようになり、機密情報への不正アクセス/システム・コンフィグ・の変更/サービス拒否状態などが引き起こされる可能性がある」と述べている。
この脆弱性が影響を及ぼすのは、以下のデバイスとなる:
- DNS-320L Version 1.11/Version 1.03.0904.2013/Version 1.01.0702.2013
- DNS-325 Version 1.01
- DNS-327L Version 1.09/ Version 1.00.0409.2013
- DNS-340L Version 1.08
悪いニュースは、これらの NAS が EOL (End of Life) に達しており、ベンダーからセキュリティ・アップデートをリリースされないことだ。したがって、これらのデバイス・モデルの所有者は交換する必要がある。
D-Link は、「このエクスプロイトは、EOL (End of Life)/EOS (End of Service Life) ライフサイクルに達した、D-Link のレガシー製品およびハードウェア・リビジョンに影響を及ぼす。 EOL/EOS 製品に対しては、デバイス・ソフトウェア・アップデートと、セキュリティ・パッチの提供が不可能であり、D-Link によるサポートの対象外となる。したがって、EOL/EOS に達した D-Link デバイスを引退させ、交換することを推奨する」と述べている。
さらに言うなら、NAS デバイスへの攻撃が頻繁に行われ、データの窃取やランサムウェアによる暗号化が多発している。したがって、それらのデバイスを、インターネットに露出させるべきではない。
D-Link については、これまでにたくさんポストしてきましたが、NAS に関する記事は初めてなのかもしれません。EOL なので、ベンダーとしても、打つ手が限られてしまいます。よろしければ、カテゴリ Storage も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.