Über 61.000 anfällige D-Link-Netzwerkspeichergeräte (NAS) wurden als besitzend eine kritische Schwachstelle zur Befehlsausführung identifiziert, die unter der Bezeichnung CVE-2024-10914 verfolgt wird. Diese Schwachstelle ermöglicht es nicht authentifizierten Angreifern, beliebige Befehle auf diesen Geräten auszuführen, was ein erhebliches Risiko für Benutzer weltweit darstellt.
Die Schwachstelle betrifft alte D-Link NAS-Modelle, die hauptsächlich von kleinen Unternehmen genutzt werden und den Status Ende des Lebenszyklus (EOL) erreicht haben, wodurch sie keine Sicherheitsupdates mehr erhalten. Mit einem kritischen CVSS-Score von 9,2 ist sofortiges Handeln erforderlich, um potenzielle Ausnutzungen zu minimieren. D-Link hat den Benutzern geraten, betroffene Geräte entweder zu ersetzen oder sie vom öffentlichen Internetzugang zu isolieren.
Die Ausnutzung dieser Schwachstelle erfordert nur geringes technisches Wissen, da Angreifer den Namensparameter in dem Befehl cgi_user_add manipulieren können, um bösartige Shell-Befehle auszuführen. Dies könnte zu unbefugtem Zugriff auf das Gerät führen, sensible Daten gefährden und laterale Bewegungen innerhalb von Netzwerken ermöglichen.
D-Link hat die Schwachstelle anerkannt und bestätigt, dass für EOL-Geräte keine Patches bereitgestellt werden. Die Benutzer werden aufgefordert, auf sichere, unterstützte Modelle umzusteigen, um sich vor möglichen Sicherheitsverletzungen zu schützen. Organisationen, die auf diese älteren Geräte angewiesen sind, wird geraten, sofortige Maßnahmen zum Schutz ihrer Datenintegrität zu ergreifen.