Biztonsági rés tátong a D-Link NAS-okon

Szerző: Biztonságportál | Utolsó módosítás: 2024.04.09.
​A D-Link egyes hálózati adattárolói kapcsán egy sebezhetőség látott napvilágot, ami miatt több tízezer NAS vált kiszolgáltatottá.
 

A Netsecfish néven tevékenykedő biztonsági kutató arról számolt be, hogy súlyos sérülékenységet tárt fel régebbi típusú D-Link NAS-okban (Network Attached Storage). A hálózati adattárolókat érintő sérülékenység a CVE-2024-3273 azonosítót kapta.
 
A szakember közölte, hogy valójában két biztonsági rendellenességről van szó, amelyek együttes kihasználásával lehetőség nyílhat védelmi mechanizmusok megkerülésére, jogosulatlan távoli műveletvégrehajtásra, konfigurációs beállítások manipulálására és hátsó kapu létrehozására az érintett eszközökön.
 
Az egyik problémát egy „beégett” jelszó jelenti, amely hozzáférést biztosíthat az érintett NAS-okhoz. Emellett pedig egy parancsbefecskendezésre módot adó ellenőrzési hiányosság is található a berendezéseken lévő /cgi-bin/nas_sharing.cgi állományban.
 
A sebezhetőség speciálisan összeállított HTTP GET kérések révén parancsok jogosulatlan futtatásához járulhat hozzá, ami végül az érintett készülékek kompromittálásához vezethet.
 
A biztonsági kutató szerint az eddigi vizsgálatok alapján a hiba által érintett NAS-ok a következők:
  • DNS-320L v1.11, v1.03.0904.2013, v1.01.0702.2013
  • DNS-325 v1.01
  • DNS-327L v1.09, v1.00.0409.2013
  • DNS-340L v1.08
 
A D-Link a sérülékenység kapcsán egyelőre nem mutatkozott igazán tettre késznek, hiszen egyszerűen közölte, hogy az érintett NAS-oknak már lejárt a támogatási életciklusok, ezért nincs tervben a firmware-ek frissítése, vagyis a sebezhetőség javítása. Annak ellenére sem, hogy a biztonsági kutató netes elemzései azt az eredményt hozták, hogy jelenleg legalább 92 ezer sérülékeny NAS érhető el az interneten keresztül.
 
A kockázatok csökkentése érdekében jelenleg leginkább az javasolható, hogy a lehetőségekhez mérten az érintett adattárolók közvetlen internetes kapcsolatát meg kell szüntetni. A D-Link pedig az elavult készülékek újabb, jelenleg is támogatott eszközökre történő cseréjére buzdít.
További hírek
 
Riasztások
  1. 4
    Cisco IP Phone sérülékenységek

    A Cico az IP telefonjaihoz három hibát javító frissítést tett közzé.

  2. 4
    ArubaOS sebezhetőségek

    Az ArobaOS-hez fontos biztonsgi frissítés érkezett.

  3. 3
    ChromeOS sérülékenység

    A Google egy veszélyes biztonsági rést foltozott be a ChromeOS-en.

  4. 4
    Google Chrome frissítések

    A Google két veszélyes hibát orvosolt Chrome böngészőben.

  5. 4
    SonicWall GMS javítások

    A SonicWall két sebezhetőséget javított a GMS kapcsán.

  6. 4
    Citrix Hypervisor/XenServer hibák

    A Citrix a virtualizációs megoldásaihoz fontos frissítéseket tett közzé.

  7. 4
    QNAP hibajavítások

    A QNAP számos sebezhetőséget szüntetett meg a NAS adattárolói kapcsán.

  8. 4
    Edge biztonsági hibák

    A Microsoft fejlesztői három biztonsági résről számoltak be az Edge kapcsán.

  9. 3
    TinyMCE biztonsági hibák

    A TinyMCE kapcsán XSS-hibákra derült fény.

  10. 4
    GLPI sérülékenységek

    A GLPI fejlesztői két veszélyes biztonsági résről számoltak be.

 

ESET Home Security Essential 1 eszköz 1 év Diákkedvezmény
9443 Ft
Bitdefender Internet Security 3 eszköz 3 év
24990 Ft
ESET NOD32 Antivirus 1 év 3 eszköz Új licenc
20990 Ft
Partnerhírek
Amikor a gyerekünk hangján követelnek tőlünk pénzt

Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.

Romantika helyett átverés Valentin-napon?

Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!