Nuova vulnerabilità per 60.000 NAS a marchio D-Link, e non ci sarà una patch
di Riccardo Robecchi pubblicata il 12 Novembre 2024, alle 15:01 nel canale Security
Scoperta una nuova vulnerabilità sui NAS a marchio D-Link: si tratta di modelli ormai non più supportati e per questo l'azienda ne consiglia la sostituzione e non fornirà una patch correttiva
Una nuova falla è emersa sui NAS a marchio D-Link: oltre 60.000 dispositivi sarebbero affetti dalla vulnerabilità nota come CVE-2024-10914, che ha ricevuto un punteggio di 9.2 per la sua gravità. D-Link ha consigliato di cambiare NAS o di rimuoverli dall'accesso a Internet.
60.000 NAS D-Link vulnerabili
La vulnerabilità, scoperta dai ricercatori di sicurezza di Netsecfish, è tale per cui un NAS esposto a Internet può essere compromesso grazie a un trattamento improprio degli input del comando "cgi_user_add": il fatto che gli input non vengano appropriatamente "sanificati", ovvero che non vengano controllati in maniera tale da rimuovere possibili abusi, fa sì che sia possibile eseguire qualunque comando.
Come riporta Bleeping Computer, secondo Netsecfish sono 61.147 i dispositivi rilevati nel mondo che risultano vulnerabili. Nell'elenco dei NAS affetti dalla vulnerabilità rientrano DNS-320 versione 1.00, DNS-320LW versione 1.01.0914.2012, DNS-325 versioni 1.01 e 1.02, e DNS-340L versione 1.08. D-Link ha pubblicato un annuncio in cui consiglia di sostituire i dispositivi.
Bisogna notare che D-Link non produce più NAS e che tutti i suoi dispositivi sono considerati a fine vita almeno dal 2020; nel caso del DNS-325, la fine del supporto risale al 2017.
I NAS a marchio D-Link erano già stati segnalati come vulnerabili nell'aprile 2024, quando una backdoor era stata scoperta dagli stessi ricercatori. La vulnerabilità dell'epoca aveva un punteggio poco superiore, pari a 9.8.
Recensione LEGO Horizon Adventures: un'avventura costruita per emozionare 
Recensione FRITZ!Box 5690 Pro: il Wi-Fi 7 secondo AVM
Recensione ROG Azoth Extreme: ASUS si spinge nel settore del lusso con la sua rinnovata top di gamma
Rocket Lab: raggiunto accordo con un cliente per lanciare satelliti con il razzo spaziale Neutron
Roscosmos: due sonde per Luna-27 e si guarderà anche al polo nord della Luna
Blue Origin prosegue l'assemblaggio del grande razzo spaziale New Glenn
4 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info2024 e siamo ancora a questo punto.
"C'è una falla, comprane un altro più nuovo..."
A voler pensar male...
"C'è una falla, comprane un altro più nuovo..."
A voler pensar male...
Ok ma erano cacatine casalinghe.
Conosco un amico che ne ha uno e lo gestisce correttamente non esponendolo su Internet. Gli fa solo da NAS interno con condivisione Samba di una partizione.
Questa è la differenza fra giocattoli del genere e sistemi e società specializzate.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".