Notebookcheck Logo

La solución de D-Link a la vulnerabilidad crítica del NAS: Comprar nuevo hardware

D-Link no tiene prisa por parchear una vulnerabilidad crítica del NAS (Fuente de la imagen: D-Link)
D-Link no tiene prisa por parchear una vulnerabilidad crítica del NAS (Fuente de la imagen: D-Link)
Se ha descubierto una vulnerabilidad crítica de inyección de comandos en varios dispositivos NAS de D-Link, lo que supone un alto riesgo para la seguridad debido a la falta de salvaguardas de autenticación. D-Link se ha negado a publicar parches de seguridad para los modelos afectados, que llegaron al final de su vida útil en 2020, y en su lugar recomienda a los usuarios que sustituyan sus dispositivos por completo. Los expertos recomiendan aislar estos dispositivos de las redes públicas e implementar estrictos controles de acceso.

El investigador de seguridad Netsecfish ha descubierto una grave vulnerabilidad de inyección de comandos que afecta a miles de dispositivos antiguos de almacenamiento conectado a red (NAS) de D-Link. El fallo, rastreado como CVE-2024-10914 en la Base de Datos Nacional de Vulnerabilidades (NVD), conlleva una puntuación de gravedad crítica de 9,2 y supone un riesgo significativo para los usuarios que aún confían en estos dispositivos al final de su vida útil.

La vulnerabilidad reside en la funcionalidad del comando 'cgi_user_add', concretamente en el parámetro 'name', que carece de una correcta higienización de la entrada. Lo que hace que este fallo sea especialmente peligroso es que puede explotarse sin autenticación, permitiendo a los atacantes inyectar comandos shell arbitrarios a través de peticiones HTTP GET manipuladas.

Lo siguiente D-Link están afectados por el problema:

  • D-Link DNS-320 Versión 1.00
  • D-Link DNS-320LW Versión 1.01.0914.2012
  • D-Link DNS-325 Versiones 1.01 y 1.02
  • D-Link DNS-340L Versión 1.08

El escaneo FOFA de Netsecfish de los modelos NAS afectados reveló 61.147 resultados con 41.097 direcciones IP únicas. Aunque el NVD sugiere que la complejidad del ataque es alta, los atacantes hábiles podrían explotar potencialmente estos dispositivos vulnerables si se exponen a la Internet pública.

Lamentablemente, D-Link ha declarado que no emitirá un parche, alegando que todos estos modelos han llegado al final de su vida útil/fin de servicio (EOL/EOS) a partir de 2020. En un comunicado, D-Link ha recomendado a los usuarios que retiren o sustituyan estos dispositivos, ya que no se proporcionarán más actualizaciones de software ni parches de seguridad.

Los expertos en seguridad han esbozado varias medidas provisionales para los usuarios que no puedan sustituir inmediatamente sus dispositivos NAS de D-Link afectados. En primer lugar, aconsejan encarecidamente aislar estos dispositivos del acceso público a Internet para minimizar la exposición a posibles ataques. Además, las organizaciones deberían aplicar medidas estrictas de control de acceso, limitando el acceso a los dispositivos únicamente a las direcciones IP de confianza y a los usuarios autorizados. Para quienes busquen soluciones alternativas, los expertos sugieren explorar opciones de firmware de terceros, aunque subrayan la importancia de obtener dicho firmware sólo de fuentes fiables y verificadas. Sin embargo, estas medidas deben considerarse soluciones temporales, y se insta a los usuarios a desarrollar y ejecutar planes para sustituir estos dispositivos vulnerables tan pronto como sea factible.

Please share our article, every link counts!
> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2024 11 > La solución de D-Link a la vulnerabilidad crítica del NAS: Comprar nuevo hardware
Andrew Sozinov, 2024-11-10 (Update: 2024-11-10)