Neopravená zraniteľnosť, ktorá by mohla ovplyvniť mnohé zariadenia NAS (Network Attached Storage) od D-Link, je zneužívaná.
Zraniteľnosť, sledovaná ako CVE-2024-3273, bola nedávno odhalená – spolu s využitím proof-of-concept (PoC) – osobou, ktorá používa online prezývku „NetworkSecurityFish“.
Podľa upozornenia zverejneného na GitHub má chyba vplyv okrem iného na modely DNS-340L, DNS-320L, DNS-327L a DNS-325. Aj keď existuje iba jeden identifikátor CVE, existujú dva problémy: pevne zakódované poverenia, ktoré umožňujú vzdialený prístup k webovému rozhraniu správy zariadenia, a chyba vkladania príkazov.
Tieto slabé stránky umožňujú neoverenému útočníkovi vykonávať ľubovoľné príkazy na zariadení, čo mu umožňuje získať prístup k informáciám, zmeniť konfiguráciu systému alebo spôsobiť stav DoS.
Ďalšie informácie je možné nájsť na stránkach:
https://thehackernews.com/2024/04/critical-flaws-leave-92000-d-link-nas.html