Notebookcheck Logo

La solution de D-Link à la vulnérabilité critique des NAS : Achetez du nouveau matériel

D-Link n'est pas pressé de corriger une vulnérabilité critique des NAS (Source : D-Link)
D-Link n'est pas pressé de corriger une vulnérabilité critique des NAS (Source : D-Link)
Une vulnérabilité critique d'injection de commande a été découverte dans plusieurs périphériques NAS de D-Link, posant un risque de sécurité élevé en raison de l'absence de garanties d'authentification. D-Link a refusé de publier des correctifs de sécurité pour les modèles concernés, qui ont atteint leur fin de vie en 2020, et recommande aux utilisateurs de remplacer entièrement leurs appareils. Les experts recommandent d'isoler ces appareils des réseaux publics et de mettre en place des contrôles d'accès stricts.

Le chercheur en sécurité Netsecfish a découvert une grave vulnérabilité par injection de commande affectant des milliers d'anciens périphériques de stockage en réseau (NAS) de D-Link. La faille, répertoriée sous le nom de CVE-2024-10914 dans la base de données nationale des vulnérabilités (NVD), présente un niveau de gravité critique de 9,2 et constitue un risque important pour les utilisateurs qui se fient encore à ces appareils en fin de vie.

La vulnérabilité réside dans la fonctionnalité de la commande "cgi_user_add", en particulier dans le paramètre "name", qui ne permet pas une vérification correcte des données d'entrée. Ce qui rend cette faille particulièrement dangereuse, c'est qu'elle peut être exploitée sans authentification, ce qui permet aux attaquants d'injecter des commandes shell arbitraires par le biais de requêtes HTTP GET élaborées.

Les éléments suivants ont été détectés D-Link suivants sont concernés par ce problème :

  • D-Link DNS-320 Version 1.00
  • D-Link DNS-320LW Version 1.01.0914.2012
  • D-Link DNS-325 Versions 1.01 et 1.02
  • D-Link DNS-340L Version 1.08

L'analyse FOFA de Netsecfish des modèles de NAS concernés a révélé 61 147 résultats avec 41 097 adresses IP uniques. Bien que le NVD suggère que la complexité de l'attaque est élevée, des attaquants compétents pourraient potentiellement exploiter ces appareils vulnérables s'ils étaient exposés à l'internet public.

Malheureusement, D-Link a déclaré qu'elle ne publierait pas de correctif, arguant que ces modèles ont tous atteint leur fin de vie/fin de service (EOL/EOS) à partir de 2020. Dans un communiqué, D-Link recommande aux utilisateurs de retirer ou de remplacer ces appareils, car aucune mise à jour logicielle ni aucun correctif de sécurité ne sera fourni.

Les experts en sécurité ont défini plusieurs mesures provisoires pour les utilisateurs qui ne peuvent pas remplacer immédiatement leurs périphériques NAS D-Link concernés. Tout d'abord, ils conseillent vivement d'isoler ces appareils de l'accès public à l'internet afin de minimiser l'exposition à des attaques potentielles. En outre, les organisations doivent mettre en œuvre des mesures strictes de contrôle d'accès, en limitant l'accès aux périphériques aux seules adresses IP de confiance et aux utilisateurs autorisés. Pour ceux qui recherchent des solutions alternatives, les experts suggèrent d'explorer les options de microprogrammes tiers, tout en soulignant l'importance de n'obtenir ces microprogrammes qu'auprès de sources fiables et vérifiées. Toutefois, ces mesures doivent être considérées comme des solutions temporaires, et les utilisateurs sont invités à élaborer et à mettre en œuvre des plans de remplacement de ces dispositifs vulnérables dès que possible.

Please share our article, every link counts!
Mail Logo
> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Archives des nouvelles 2024 11 > La solution de D-Link à la vulnérabilité critique des NAS : Achetez du nouveau matériel
Andrew Sozinov, 2024-11-10 (Update: 2024-11-11)