Biztonsági rés tátong a D-Link NAS-okon

Szerző: Biztonságportál | Utolsó módosítás: 2024.04.09.
​A D-Link egyes hálózati adattárolói kapcsán egy sebezhetőség látott napvilágot, ami miatt több tízezer NAS vált kiszolgáltatottá.
 

A Netsecfish néven tevékenykedő biztonsági kutató arról számolt be, hogy súlyos sérülékenységet tárt fel régebbi típusú D-Link NAS-okban (Network Attached Storage). A hálózati adattárolókat érintő sérülékenység a CVE-2024-3273 azonosítót kapta.
 
A szakember közölte, hogy valójában két biztonsági rendellenességről van szó, amelyek együttes kihasználásával lehetőség nyílhat védelmi mechanizmusok megkerülésére, jogosulatlan távoli műveletvégrehajtásra, konfigurációs beállítások manipulálására és hátsó kapu létrehozására az érintett eszközökön.
 
Az egyik problémát egy „beégett” jelszó jelenti, amely hozzáférést biztosíthat az érintett NAS-okhoz. Emellett pedig egy parancsbefecskendezésre módot adó ellenőrzési hiányosság is található a berendezéseken lévő /cgi-bin/nas_sharing.cgi állományban.
 
A sebezhetőség speciálisan összeállított HTTP GET kérések révén parancsok jogosulatlan futtatásához járulhat hozzá, ami végül az érintett készülékek kompromittálásához vezethet.
 
A biztonsági kutató szerint az eddigi vizsgálatok alapján a hiba által érintett NAS-ok a következők:
  • DNS-320L v1.11, v1.03.0904.2013, v1.01.0702.2013
  • DNS-325 v1.01
  • DNS-327L v1.09, v1.00.0409.2013
  • DNS-340L v1.08
 
A D-Link a sérülékenység kapcsán egyelőre nem mutatkozott igazán tettre késznek, hiszen egyszerűen közölte, hogy az érintett NAS-oknak már lejárt a támogatási életciklusok, ezért nincs tervben a firmware-ek frissítése, vagyis a sebezhetőség javítása. Annak ellenére sem, hogy a biztonsági kutató netes elemzései azt az eredményt hozták, hogy jelenleg legalább 92 ezer sérülékeny NAS érhető el az interneten keresztül.
 
A kockázatok csökkentése érdekében jelenleg leginkább az javasolható, hogy a lehetőségekhez mérten az érintett adattárolók közvetlen internetes kapcsolatát meg kell szüntetni. A D-Link pedig az elavult készülékek újabb, jelenleg is támogatott eszközökre történő cseréjére buzdít.
További hírek
 
Riasztások
  1. 4
    Juniper biztonsági hibák

    A Juniper sebezhetőségek miatt újabb biztonsági közleményt adott ki.

  2. 3
    Edge biztonsági frissítések

    A Microsoft frissítést adott ki az Edge webböngészőhöz.

  3. 4
    Chrome nulladik napi hiba

    Újabb nulladik napi hibát javított a Google.

  4. 3
    IBM AIX frissítés

    Az IBM AIX egy biztonsági hibajavítással bővült.

  5. 4
    GitLab biztonsági hibák

    A GitLab megkapta a legújabb biztonsági frissítéseit.

  6. 4
    Apple iTunes sebezhetőség

    Az Apple iTunes szoftver egy fontos biztonsági javítást kapott.

  7. 4
    F5 sérülékenységek

    Az F5 BIG-IP Next Central Manager két súlyos sebezhetőséget tartalmaz.

  8. 4
    Chrome nulladik napi hiba

    A Google egy súlyos, nulladik napi biztonsági rést foltozott be a Chrome-on.

  9. 3
    MediaWiki sebezhetőségek

    A MediaWiki és annak bővítményei kapcsán 10 biztonsági hiba látott napvilágot.

  10. 4
    Chrome biztonsági hibák

    A Google két biztonsági hibáról számolt be a Chrome böngésző kapcsán.

 

G Data Total Security 1 év 4 eszköz Új licenc
26250 Ft
ESET NOD32 Antivirus 1 eszköz 2 év Nyugdíjas kedvezmény hosszabbítás
10493 Ft
F-Secure Total 1 év 5 eszköz
20991 Ft
Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!