Firma D-Link nie planuje łatania krytycznej luki wykrytej w jej starszych systemach pamięci masowej podłączonych do sieci (NAS) i umożliwia wstrzykiwanie poleceń za pośrednictwem exploita. Zamiast tego producent zaleca właścicielom urządzeń, których dotyczy problem, przejście na nowsze modele, których nie dotyczy ten problem.
Mowa o luce CVE-2024-10914, która uzyskała krytyczną ocenę ważności 9,2 punktu i została odkryta przez specjalistów Netsecfish. Luka występuje w skrypcie account_mgr.cgi, w którym osoba atakująca może w specjalny sposób dostosować parametr name w celu wykonania exploita. Innymi słowy, nieuwierzytelniony użytkownik może wstrzykiwać dowolne polecenia powłoki, wysyłając żądania HTTP GET do urządzenia, którego dotyczy problem.
Komunikat mówi, że problem dotyczy kilku modeli pamięci sieciowych D-Link: DNS-320 wersja 1.00, DNS-320LW wersja 1.01.0914.2012, DNS-325 wersja 1.01 i DNS-340L wersja 1.08. Zła wiadomość dla użytkowników tych urządzeń jest taka, że D-Link nie ma zamiaru wypuszczać łatki naprawiającej wspomnianą lukę. Dzieje się tak, ponieważ okres wsparcia dla wszystkich urządzeń NAS, których dotyczy problem, dobiegł końca i nie otrzymują już aktualizacji oprogramowania.
Producent zaleca, aby właściciele urządzeń NAS, których dotyczy problem, szybko przeszli na korzystanie z nowszych modeli. Ci, którzy nie mogą tego zrobić szybko, powinni odizolować swoje urządzenia od Internetu lub ustalić dla nich bardziej rygorystyczne zasady dostępu. Możesz także spróbować znaleźć alternatywne oprogramowanie od zewnętrznych programistów, ale w tym przypadku przed pobraniem powinieneś upewnić się, że oprogramowanie jest niezawodne i bezpieczne.