D-Link won’t fix critical flaw affecting 60,000 older NAS devices

D-Linkのネットワーク接続型ストレージデバイスのうち、使用期限を迎えた60,000台以上に、コマンドインジェクションの脆弱性があり、悪用方法が公開されている。

この脆弱性は、CVE-2024-10914 として追跡されており、深刻度はクリティカル 9.2 で、name パラメータのサニタイズが不十分な ‘cgi_user_add’ コマンドに存在します。

認証されていない攻撃者は、これを悪用して、特別に細工した HTTP GET リクエストをデバイスに送信することで、任意のシェルコマンドを注入することができます。

この欠陥は、小規模企業で一般的に使用されている D-Link ネットワーク接続ストレージ (NAS) デバイスの複数のモデルに影響します:

  • DNS-320 バージョン 1.00
  • DNS-320LW バージョン 1.01.0914.2012
  • DNS-325 バージョン1.01、バージョン1.02
  • DNS-340L バージョン 1.08

セキュリティ研究者である Netsecfish は、悪用の詳細を提供する技術文書の中で、この脆弱性を利用するには、”name パラメータに悪意のある入力を含む細工した HTTP GET リクエストを NAS デバイスに送信する必要がある” と述べています。

curl "http://[Target-IP]/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27"

“このcurlリクエストは、注入されたシェルコマンドを含むnameパラメータでcgi_user_addコマンドをトリガーするURLを構築します “と研究者は説明しています。

NetsecfishがFOFAプラットフォームで実施した検索では、CVE-2024-10914に脆弱なD-Linkデバイスについて、41,097のユニークなIPアドレスで61,147件の結果が返された。

FOFA scan results for exposed D-Link NAS devices
公開されたD-Link NASデバイスのFOFAスキャン結果
ソースはこちら:Netsecfish

本日、D-Link はセキュリティ情報において、CVE-2024-10914 の修正プログラムが提供されないことを確認しており、ベンダーはユーザーに脆弱性のある製品を引退させることを推奨している。

現時点でそれが不可能な場合、ユーザーは少なくとも公衆インターネットから隔離するか、より厳しいアクセス条件下に置くべきである。

同じ研究者は今年4月、CVE-2024-3273として追跡されている任意のコマンドインジェクションおよびハードコードされたバックドアの欠陥を発見しており、今回の欠陥とほぼ同じD-Link NASモデルに影響を与えていた。

当時、FOFAのインターネットスキャンは92,589件の結果を返した

当時、D-Linkの広報担当者は、同社はもはやNASデバイスを製造しておらず、影響を受けた製品はEoLに達しており、セキュリティ・アップデートは提供されないと述べた。