D-Link ha annunciato che non sono previsti interventi diretti per correggere una vulnerabilità di sicurezza critica che riguarda oltre 60.000 dispositivi NAS (Network Attached Storage) non più supportati. Quest’ultimi vengono utilizzati soprattutto da piccole imprese a livello globale. La vulnerabilità è stata denominata CVE-2024-10914. A quest’ultima è stato dato con un punteggio di gravità pari a 9,2 su 10. Valore che evidenzia un elevato rischio di compromissione dei dispositivi.
Tale criticità è legata al comando `cgi_user_add` nei dispositivi NAS D-Link. In quest’ultimi il parametro “name” non viene adeguatamente verificato o sanificato. Di conseguenza, un cybercriminale non autenticato potrebbe sfruttare tale debolezza inviando specifiche richieste HTTP GET, progettate per iniettare comandi shell arbitrari nel dispositivo mirato. Secondo un noto esperto di sicurezza, la vulnerabilità è facilmente sfruttabile.
D-Link nessun intervento per la vulnerabilità
Per dimostrare l’attacco, l’esperto ha illustrato l’uso di un semplice comando `curl` che costruisce un URL per attivare `cgi_user_add`, utilizzando un parametro “name” contenente un comando shell iniettato. Tale procedimento, di per sé lineare, dimostra come un attacco possa essere lanciato con tecniche relativamente semplici. Mettendo a rischio le informazioni memorizzate sui NAS vulnerabili.
Una ricerca effettuata da Netsecfish, attraverso la piattaforma FOFA, ha individuato circa 61.147 dispositivi esposti a suddetta vulnerabilità. La loro diffusione globale evidenzia la portata della minaccia. Di fronte a tale scenario, la scelta di D-Link di non rilasciare aggiornamenti di sicurezza per CVE-2024-10914 è particolarmente rilevante. L’azienda ha infatti comunicato che i modelli coinvolti hanno raggiunto la fine del loro ciclo di vita, motivo per cui non verranno prodotte patch di sicurezza.
Nel suo comunicato, D-Link consiglia agli utenti di ritirare dal servizio i dispositivi vulnerabili. In alternativa, l’azienda propone di isolarli dalla rete pubblica e adottare misure di accesso più restrittive. Tale posizione lascia la responsabilità della gestione del rischio in capo agli utenti, che dovranno valutare soluzioni alternative per proteggere i propri dati.