Plus de 61 000 appareils de stockage en réseau (NAS) D-Link vulnérables ont été identifiés comme ayant une vulnérabilité critique d'injection de commandes, suivie sous le nom de CVE-2024-10914. Cette faille permet aux attaquants non authentifiés d'exécuter des commandes arbitraires sur ces appareils, posant un risque significatif pour les utilisateurs dans le monde entier.
La vulnérabilité affecte les anciens modèles NAS D-Link principalement utilisés par les petites entreprises, qui ont atteint un statut de fin de vie (EOL) et ne reçoivent plus de mises à jour de sécurité. Avec un score CVSS critique de 9,2, une action immédiate est essentielle pour atténuer les risques d'exploitation potentiels. D-Link a conseillé aux utilisateurs de retirer les appareils concernés ou de les isoler de l'accès public à Internet.
Exploiter cette vulnérabilité nécessite peu de connaissances techniques, car les attaquants peuvent manipuler le paramètre de nom dans la commande cgi_user_add pour exécuter des commandes shell malveillantes. Cela pourrait conduire à un contrôle non autorisé de l'appareil, compromettant des données sensibles et permettant un mouvement latéral dans les réseaux.
D-Link a reconnu la vulnérabilité et confirmé qu'aucun correctif ne sera fourni pour les appareils EOL. Les utilisateurs sont invités à passer à des modèles sécurisés et pris en charge pour se protéger contre les violations potentielles. Les organisations s'appuyant sur ces anciens appareils sont conseillées d'agir immédiatement pour protéger l'intégrité de leurs données.