D-Link non interverrà per correggere una vulnerabilità critica che interessa oltre 60.000 dispositivi di archiviazione collegati in rete (NAS),
non più supportati e ampiamente utilizzati da piccole imprese in tutto il mondo. La vulnerabilità, identificata come CVE-2024-10914, è stata classificata con un punteggio di gravità critica di 9,2, evidenziando il serio rischio di compromissione dei dispositivi.
Secondo quanto spiegato da (un noto esperto di sicurezza), la falla si manifesta nel comando ‘cgi_user_add’ dei dispositivi NAS D-Link, in cui il parametro ‘name’ non viene adeguatamente sanificato. Un cyber-criminale non autenticato potrebbe sfruttare questa debolezza inviando richieste HTTP GET costruite in modo malevolo, consentendo l’esecuzione di comandi shell arbitrari sul dispositivo target.
“Questa richiesta curl costruisce un URL che attiva il comando cgi_user_add con un parametro name che include un comando shell iniettato,” ha illustrato il ricercatore, sottolineando la semplicità con cui può essere orchestrato un attacco.
Una ricerca condotta da Netsecfish sulla piattaforma FOFA ha rivelato l’esposizione di 61.147 dispositivi vulnerabili, distribuiti su 41.097 indirizzi IP unici. Questi numeri evidenziano la portata globale della minaccia e sollevano gravi preoccupazioni per la sicurezza dei dati gestiti attraverso questi NAS ormai obsoleti.
D-Link ha confermato in un comunicato dedicato alla sicurezza che non verrà rilasciato alcun aggiornamento per risolvere la vulnerabilità CVE-2024-10914. L’azienda ha consigliato agli utenti di ritirare i dispositivi interessati o, in alternativa, di isolarli dalla rete pubblica e adottare misure di accesso più restrittive. Questa posizione si deve al fatto che i modelli colpiti hanno raggiunto la fine del loro ciclo di vita (EoL), rendendo non più praticabile il rilascio di patch di sicurezza.
Già ad aprile di quest’anno, lo stesso ricercatore aveva identificato un’altra falla significativa, CVE-2024-3273, che riguardava in gran parte gli stessi dispositivi NAS. Questa vulnerabilità includeva un’iniezione di comandi arbitraria e una backdoor hardcoded. Allora, le scansioni FOFA avevano restituito oltre 92.000 dispositivi vulnerabili.
Un portavoce di D-Link ha dichiarato a BleepingComputer che l’azienda non produce più dispositivi NAS e che i prodotti vulnerabili, essendo fuori supporto, non avrebbero ricevuto aggiornamenti di sicurezza, lasciando gli utenti con la responsabilità di gestire le implicazioni di queste falle critiche.