Biztonsági rés tátong a D-Link NAS-okon

Szerző: Biztonságportál | Utolsó módosítás: 2024.04.09.
​A D-Link egyes hálózati adattárolói kapcsán egy sebezhetőség látott napvilágot, ami miatt több tízezer NAS vált kiszolgáltatottá.
 

A Netsecfish néven tevékenykedő biztonsági kutató arról számolt be, hogy súlyos sérülékenységet tárt fel régebbi típusú D-Link NAS-okban (Network Attached Storage). A hálózati adattárolókat érintő sérülékenység a CVE-2024-3273 azonosítót kapta.
 
A szakember közölte, hogy valójában két biztonsági rendellenességről van szó, amelyek együttes kihasználásával lehetőség nyílhat védelmi mechanizmusok megkerülésére, jogosulatlan távoli műveletvégrehajtásra, konfigurációs beállítások manipulálására és hátsó kapu létrehozására az érintett eszközökön.
 
Az egyik problémát egy „beégett” jelszó jelenti, amely hozzáférést biztosíthat az érintett NAS-okhoz. Emellett pedig egy parancsbefecskendezésre módot adó ellenőrzési hiányosság is található a berendezéseken lévő /cgi-bin/nas_sharing.cgi állományban.
 
A sebezhetőség speciálisan összeállított HTTP GET kérések révén parancsok jogosulatlan futtatásához járulhat hozzá, ami végül az érintett készülékek kompromittálásához vezethet.
 
A biztonsági kutató szerint az eddigi vizsgálatok alapján a hiba által érintett NAS-ok a következők:
  • DNS-320L v1.11, v1.03.0904.2013, v1.01.0702.2013
  • DNS-325 v1.01
  • DNS-327L v1.09, v1.00.0409.2013
  • DNS-340L v1.08
 
A D-Link a sérülékenység kapcsán egyelőre nem mutatkozott igazán tettre késznek, hiszen egyszerűen közölte, hogy az érintett NAS-oknak már lejárt a támogatási életciklusok, ezért nincs tervben a firmware-ek frissítése, vagyis a sebezhetőség javítása. Annak ellenére sem, hogy a biztonsági kutató netes elemzései azt az eredményt hozták, hogy jelenleg legalább 92 ezer sérülékeny NAS érhető el az interneten keresztül.
 
A kockázatok csökkentése érdekében jelenleg leginkább az javasolható, hogy a lehetőségekhez mérten az érintett adattárolók közvetlen internetes kapcsolatát meg kell szüntetni. A D-Link pedig az elavult készülékek újabb, jelenleg is támogatott eszközökre történő cseréjére buzdít.
További hírek
 
Riasztások
  1. 3
    TinyMCE biztonsági hibák

    A TinyMCE kapcsán XSS-hibákra derült fény.

  2. 4
    GLPI sérülékenységek

    A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.

  3. 3
    GitLab sérülékenységek

    Öt biztonsági rést foltoztak be a GitLab fejlesztői.

  4. 3
    FreeRDP sérülékenységek

    A FreeRDP-hez öt patch vált elérhetővé.

  5. 4
    Dell Custom VMware ESXi hibák

    A Dell biztonsági frissítést adott ki a Custom VMware ESXi-hez.

  6. 4
    Google Chrome sebezhetőségek

    A Google kritikus veszélyességű sebezhetőségeket orvosolt a Chrome webböngésző kapcsán.

  7. 3
    IBM QRadar SIEM hiba

    Az IBM QRadar SIEM-hez egy biztonsági javítás érkezett.

  8. 3
    Fortinet FortiNAC-F patch

    A Fortinet FortiNAC-F kapcsán egy biztonsági hibára derült fény.

  9. 4
    Firefox biztonsági javítások

    A Firefox legújabb kiadása számos sebezhetőséget orvosolt.

  10. 4
    CrushFTP sérülékenység

    A CrushFTP fejlesztői egy biztonsági rést foltoztak be.

 

F-Secure Total 10 eszköz 2 év
31990 Ft
ESET Home Security Premium 2 eszköz 2 év Új licenc
38990 Ft
ESET NOD32 Antivirus 1 év 4 eszköz Nyugdíjas kedvezmény hosszabbítás
14693 Ft
Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!