D-Linkのネットワーク接続ストレージ(NAS)デバイスの製造終了モデルの複数に影響する重大な脆弱性が、公開されている悪用コードによって攻撃者に狙われている。
CVE-2024-10914として追跡されているこのコマンドインジェクションの脆弱性は、セキュリティ研究者のNetsecfishによって発見され、Netsecfishは悪用の詳細も共有しており、認証されていない攻撃者は、オンラインで公開されている脆弱なNASデバイスに悪意のあるHTTP GETリクエストを送信することによって、任意のシェルコマンドを注入するためにこの脆弱性を悪用することができると述べています。
影響を受けるデバイスのNASモデルリストには、DNS-320 Version 1.00、DNS-320LW Version 1.01.0914.2012、DNS-325 Version 1.01、Version 1.02、およびDNS-340L Version 1.08が含まれる。
この攻撃は、D-Linkが金曜日に、セキュリティ上の欠陥は使用済みNASモデルにのみ影響するため修正しないと発表した後に始まったもので、影響を受けるデバイスを引退させるか、新しい製品にアップグレードするよう顧客に警告している。
「EOL/EOSに達した製品は、デバイス・ソフトウェアのアップデートやセキュリティ・パッチが提供されなくなり、D-Linkによるサポートも終了しています。D-Link USは、EOL/EOSに達したD-Linkデバイスを引退させ、交換することを推奨する」と同社は述べている。
しかし、Shadowserverの脅威モニタリングサービスが発見したように、脅威行為者は月曜日にこの脆弱性に注目し、標的とし始めた。
「我々は、11月12日からD-Link NAS CVE-2024-10914 /cgi-bin/account_mgr.cgiコマンドインジェクションの悪用の試みを観測している。この脆弱性は EOL/EOS デバイスに影響するため、インターネットから削除する必要がある」と Shadowserver は警告している。
Shadowserverは、インターネットに露出した1,100台強のD-Link NASデバイスを発見したと述べているが、Netsecfishは、Huashun Xin’anのFOFAプラットフォームによるインターネットスキャンで、脆弱なデバイスがオンラインで使用する41,000以上のユニークIPアドレスを発見したと述べている。
Netsecfishは4月にも、ハードコードされたバックドアと任意のコマンドインジェクションの欠陥を報告しており、ほぼ同じD-Link NASモデルに影響を与え、CVE-2024-3273としてまとめて追跡されている。
D-Linkの広報担当者が4月に語ったように、影響を受けるNASデバイスには自動アップデート機能やアラートをプッシュする顧客支援機能がない。そのため、製造終了のデバイスを使用している人は、過去にランサムウェア攻撃の標的にされたことがあるため、できるだけ早くインターネットからのアクセスを制限することが勧められている。
「通常、D-Linkはこれらの製品のデバイスやファームウェアの問題を解決することはできません。
「D-Linkはこの製品の使用を中止することを強く推奨しており、これ以上の使用は接続された機器に危険を及ぼす可能性があることを警告している。米国の消費者がD-Linkの勧告に反してこれらのデバイスを使用し続ける場合は、デバイスが最新のファームウェアを持っていることを確認してください。”
Comments