Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Inyección de comandos en productos D-Link

Fecha de publicación 11/11/2024
Identificador
INCIBE-2024-0550
Importancia
5 - Crítica
Recursos Afectados
  • DNS-320, versión 1.00;
  • DNS-320LW, versión 1.01.0914.2012;
  • DNS-325, versiones 1.01 y 1.02;
  • DNS-340L, versión 1.08.

El listado completo de modelos afectados, incluidos EoL, puede consultase en las referencias del aviso.

Descripción

El investigador de seguridad, Netsecfish, ha publicado una investigación aportando detalles sobre una vulnerabilidad crítica de inyección de comandos que afecta a más de 60.000 dispositivos NAS de D-Link que se encuentran ya sin soporte (EoS). Además, en dicha investigación, se incluye un exploit disponible públicamente.

Solución

Como medida provisional, se recomienda que el acceso de red a la interfaz de gestión del dispositivo NAS afectado se restrinja a direcciones IP de confianza.

Los dispositivos afectados finalizaron su etapa de soporte (EoS) el día 14/08/2024, por lo que ya no recibirán actualizaciones de seguridad para corregir vulnerabilidades. El fabricante recomienda reemplazar los dispositivos afectados por otro funcionalmente superiores y con soporte de seguridad.

Detalle

La vulnerabilidad se ha detectado en el comando cgi_user_add, donde el parámetro name no está suficientemente sanitizado. Un atacante, no autenticado, podría explotarlo para inyectar comandos shell arbitrarios enviando peticiones HTTP maliciosas de tipo GET a los dispositivos. 

Se ha asignado el identificador CVE-2024-10914 para esta vulnerabilidad.