Inyección de comandos en productos D-Link
- DNS-320, versión 1.00;
- DNS-320LW, versión 1.01.0914.2012;
- DNS-325, versiones 1.01 y 1.02;
- DNS-340L, versión 1.08.
El listado completo de modelos afectados, incluidos EoL, puede consultase en las referencias del aviso.
El investigador de seguridad, Netsecfish, ha publicado una investigación aportando detalles sobre una vulnerabilidad crítica de inyección de comandos que afecta a más de 60.000 dispositivos NAS de D-Link que se encuentran ya sin soporte (EoS). Además, en dicha investigación, se incluye un exploit disponible públicamente.
Como medida provisional, se recomienda que el acceso de red a la interfaz de gestión del dispositivo NAS afectado se restrinja a direcciones IP de confianza.
Los dispositivos afectados finalizaron su etapa de soporte (EoS) el día 14/08/2024, por lo que ya no recibirán actualizaciones de seguridad para corregir vulnerabilidades. El fabricante recomienda reemplazar los dispositivos afectados por otro funcionalmente superiores y con soporte de seguridad.
La vulnerabilidad se ha detectado en el comando cgi_user_add, donde el parámetro name no está suficientemente sanitizado. Un atacante, no autenticado, podría explotarlo para inyectar comandos shell arbitrarios enviando peticiones HTTP maliciosas de tipo GET a los dispositivos.
Se ha asignado el identificador CVE-2024-10914 para esta vulnerabilidad.