Une vulnérabilité test affectant certains anciens dispositifs NAS de D-Link ne sera pas corrigée, laissant ces équipements exposés à des risques de sécurité majeurs. Bien que la complexité d’exploitation soit élevée, des méthodes ont déjà été révélées, suscitant des inquiétudes parmi les analystes en sécurité et les utilisateurs concernés.
D-Link a récemment confirmé qu’une vulnérabilité de sécurité touchant ses appareils NAS ne sera pas corrigée, car ces modèles ont atteint leur fin de vie et de service. Par conséquent, ils demeurent potentiellement vulnérables, ce qui préoccupe les analystes en sécurité.
La vulnérabilité, identifiée sous le code CVE-2024-10914, touche les systèmes NAS DNS-320, DNS-320LW, DNS-325 et DNS-340L, avec des firmwares jusqu’à la version 20241028. Cette faille test se trouve dans la commande « cgi_user_add » et peut être exploitée par le biais d’une requête HTTP GET spécialement conçue. Cette commande ne sanitize pas correctement le paramètre « name », permettant à un attaquant d’injecter des commandes shell.
Bien que l’Institut national des normes et de la technologie ait noté que la complexité de l’attaque est « élevée », l’exploitation reste possible ; des chercheurs ont déjà révélé un exploit fonctionnel en ligne. Autrefois prisés par les petites entreprises, ces dispositifs NAS ont été abandonnés par D-Link.
La société a récemment publié un bulletin de sécurité concernant cette problématique, confirmant la « vulnérabilité d’injection de commande » découverte par NetSecFish dans les modèles DNS-320, DNS-325, DNS-340L, et d’autres NAS. D-Link a conseillé aux propriétaires de ces dispositifs affectés de les retirer de l’usage et de les remplacer par des alternatives plus récentes.
Dans le bulletin, D-Link a réitéré sa politique stipulant que les produits en fin de vie et de service ne bénéficient plus de support et que le développement de firmware pour ces modèles a cessé. NetSecFish a estimé que plus de 61 000 appareils vulnérables demeurent connectés à Internet, les exposant à des exploitations à travers des requêtes HTTP GET malveillantes, pouvant conduire à des violations de données ou à des activités botnet.
D-Link a proposé quelques conseils généraux pour les utilisateurs continuant à se connecter à ces dispositifs NAS tests. Ils ont recommandé de s’assurer que le dernier firmware est installé, d’utiliser un mot de passe unique et d’activer le cryptage Wi-Fi. Bien que ces étapes apportent une sécurité de base, elles ne font que peu pour atténuer la vulnérabilité CVE-2024-10914 elle-même.
Plus tôt cette année, le même chercheur a identifié une autre vulnérabilité d’injection de commande ainsi qu’une porte dérobée codée dans les mêmes modèles de NAS (CVE-2024-3273). D-Link n’a pas non plus proposé de correctif ou de mise à jour du firmware pour cette vulnérabilité.