Более 61 000 уязвимых устройств сетевого хранения данных (NAS) D-Link были идентифицированы с критической уязвимостью для инъекции команд, отслеживаемой как CVE-2024-10914. Эта уязвимость позволяет неаутентифицированным злоумышленникам выполнять произвольные команды на этих устройствах, представляя собой значительный риск для пользователей по всему миру.
Уязвимость затрагивает устаревшие модели NAS D-Link, которые в основном используются малыми предприятиями и достигли статуса конца жизненного цикла (EOL), и больше не получают обновлений безопасности. С критическим баллом CVSS 9,2 немедленные действия необходимы для смягчения потенциальной эксплуатации. D-Link рекомендовала пользователям либо заменить затронутые устройства, либо изолировать их от доступа к публичному интернету.
Эксплуатация этой уязвимости требует минимальных технических знаний, так как злоумышленники могут манипулировать параметром имени в команде cgi_user_add для выполнения вредоносных команд оболочки. Это может привести к несанкционированному контролю над устройством, компрометируя чувствительные данные и позволяя перемещения внутри сетей.
D-Link признала уязвимость и подтвердила, что для устройств EOL не будут предоставлены патчи. Пользователям рекомендуется обновиться до безопасных и поддерживаемых моделей, чтобы защититься от потенциальных нарушений. Организациям, полагающимся на эти устаревшие устройства, следует немедленно предпринять действия для защиты целостности своих данных.