Tale criticità è legata al comando `cgi_user_add` nei dispositivi NAS D-Link. In quest’ultimi il parametro “name” non viene adeguatamente verificato o sanificato. Di conseguenza, un cybercriminale non autenticato potrebbe sfruttare tale debolezza inviando specifiche richieste HTTP GET, progettate per iniettare comandi shell arbitrari nel dispositivo mirato. Secondo un noto esperto di sicurezza, la vulnerabilità è facilmente sfruttabile.
D-Link nessun intervento per la vulnerabilità
Per dimostrare l’attacco, l’esperto ha illustrato l’uso di un semplice comando `curl` che costruisce un URL per attivare `cgi_user_add`, utilizzando un parametro “name” contenente un comando shell iniettato. Tale procedimento, di per sé lineare, dimostra come un attacco possa essere lanciato con tecniche relativamente semplici. Mettendo a rischio le informazioni memorizzate sui NAS vulnerabili.
Una ricerca effettuata da Netsecfish, attraverso la piattaforma FOFA, ha individuato circa 61.147 dispositivi esposti a suddetta vulnerabilità. La loro diffusione globale evidenzia la portata della minaccia. Di fronte a tale scenario, la scelta di D-Link di non rilasciare aggiornamenti di sicurezza per CVE-2024-10914 è particolarmente rilevante. L’azienda ha infatti comunicato che i modelli coinvolti hanno raggiunto la fine del loro ciclo di vita, motivo per cui non verranno prodotte patch di sicurezza.
Nel suo comunicato, D-Link consiglia agli utenti di ritirare dal servizio i dispositivi vulnerabili. In alternativa, l’azienda propone di isolarli dalla rete pubblica e adottare misure di accesso più restrittive. Tale posizione lascia la responsabilità della gestione del rischio in capo agli utenti, che dovranno valutare soluzioni alternative per proteggere i propri dati.