Hakeri aktivno skeniraju i iskorištavaju par sigurnosnih propusta za koje se kaže da utiču na čak 92.000 D-Link uređaja za pohranu podataka (NAS) koji su izloženi internetu.
Praćene kao CVE-2024-3272 (CVSS rezultat: 9,8) i CVE-2024-3273 (CVSS rezultat: 7,3), ranjivosti utiču na zastarjele D-Link proizvode koji su dostigli status na kraju životnog veka (EoL). D-Link je, u savjetu, rekao da ne planira isporuku zakrpa i umjesto toga poziva kupce da ih zamjene.
“Ranjivost se nalazi unutar nas_sharing.cgi uri-a, koji je ranjiv zbog dva glavna problema: backdoor omogućen tvrdo kodiranim akreditivima i ranjivost ubrizgavanja komande preko sistemskog parametra”, rekao je istraživač sigurnosti koji nosi ime netsecfish krajem marta 2024.
Uspješno iskorištavanje nedostataka moglo bi dovesti do proizvoljnog izvršavanja komande na pogođenim D-Link NAS uređajima, dajući hakerima mogućnost pristupa osjetljivim informacijama, mijenjanja konfiguracije sistema ili čak pokretanja stanja uskraćivanja usluge (DoS).
Problemi utiču na sledeće modele –
- DNS-320L
- DNS-325
- DNS-327L i
- DNS-340L
Obavještajna firma GreyNoise rekla je da je primijetila kako napadači pokušavaju iskoristiti ranjivost za isporuku Mirai botnet malvera, čime je omogućeno daljinsko preuzimanje D-Link uređaja.
U nedostatku popravke, Shadowserver Foundation preporučuje da korisnici ili skinu ove uređaje sa mreže ili da daljinski pristup uređaju zaštite firewall-om kako bi ublažili potencijalne prijetnje.
Nalazi još jednom ilustruju da se Mirai botnetovi kontinuirano prilagođavaju i inkorporiraju nove ranjivosti u svoj repertoar, pri čemu hakeri brzo razvijaju nove varijante koje su dizajnirane da zloupotrebe ove probleme kako bi provalili što više uređaja.
S obzirom da mrežni uređaji postaju uobičajene mete finansijski motivisanih napadača koji su povezani sa državom, razvoj događaja dolazi kada je Palo Alto Networks Unit 42 otkrio da se hakeri sve više prebacuju na napade skeniranja inicirane malverom kako bi označili ranjivosti u ciljnim mrežama.
“Neki napadi skeniranjem potiču od benignih mreža koje vjerovatno pokreće zlonamjerni softver na zaraženim mašinama”, rekla je kompanija.
„Pokretanjem napada skeniranjem sa kompromitovanih hostova, napadači mogu postići sljedeće: prikrivanje svojih tragova, zaobilaženje geofencinga, širenje botneta, [i] iskorištavanje resursa ovih kompromitovanih uređaja za generisanje veće količine zahtjeva za skeniranje u odnosu na ono što bi mogli postići koristeći samo njihove vlastite uređaje.”
Izvor: The Hacker News