Más de 61,000 dispositivos de almacenamiento conectado a la red (NAS) de D-Link vulnerables han sido identificados con una crítica vulnerabilidad de inyección de comandos, registrada como CVE-2024-10914. Esta falla permite a atacantes no autenticados ejecutar comandos arbitrarios en estos dispositivos, representando un riesgo significativo para los usuarios a nivel mundial.
La vulnerabilidad afecta a modelos antiguos de NAS de D-Link, utilizados principalmente por pequeñas empresas, que han alcanzado el estado de fin de vida (EOL) y ya no reciben actualizaciones de seguridad. Con un puntaje CVSS crítico de 9.2, es esencial tomar medidas inmediatas para mitigar la explotación potencial. D-Link ha aconsejado a los usuarios que retiren los dispositivos afectados o, al menos, los aíslen del acceso público a Internet.
Explotar esta vulnerabilidad requiere poco conocimiento técnico, ya que los atacantes pueden manipular el parámetro de nombre en el comando cgi_user_add para ejecutar comandos shell maliciosos. Esto podría llevar a un control no autorizado del dispositivo, comprometiendo datos sensibles y permitiendo movimientos laterales dentro de las redes.
D-Link ha reconocido la vulnerabilidad y confirmado que no se proporcionarán parches para los dispositivos EOL. Se insta a los usuarios a actualizar a modelos seguros y soportados para protegerse contra posibles violaciones. Las organizaciones que dependen de estos dispositivos antiguos deben actuar de inmediato para salvaguardar la integridad de sus datos.