Backdoor in zeker 92.000 D-Link NAS-systemen actief misbruikt bij aanvallen

[Captain Kirk]

Aanvallers maken actief misbruik van een backdoor en een kwetsbaarheid in zeker 92.000 NAS-systemen van fabrikant D-Link. De kwetsbare apparaten zijn end-of-life en ontvangen geen beveiligingsupdates meer. Zowel D-Link als securitybedrijven roepen gebruikers op om de NAS-systemen offline te halen.

Het probleem speelt onder andere bij de D-Link DNS-340L, DNS-320L, DNS-327L en DNS-325. Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een 'backdoor account' zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando's op het NAS-systeem uitvoeren, wat kan leiden tot remote code execution (RCE). Om kwetsbare NAS-systemen aan te kunnen vallen moeten een aanvaller hier wel een malafide HTTP-request naar toe kunnen sturen.

"We zien vanaf meerdere ip-adressen scans/exploits voor CVE-2024-3273 (kwetsbaarheid in end-of-life D-Link NAS-systemen). Het gaat om een combinatie van een backdoor en command injection om RCE mogelijk te maken", aldus de Shadowserver Foundation op X. Dit is een organisatie die zich met de bestrijding van botnets en cybercrime bezighoudt. "Aangezien er geen patch voor deze kwetsbaarheid beschikbaar is, moeten deze apparaten worden vervangen/offline gehaald, en minimaal hun remote toegang achter een firewall hebben zitten."

"Actief misbruik van een remote code execution-kwetsbaarheid in D-Link NAS-systemen, raakt minstens 92.000 apparaten", laat securitybedrijf GreyNoise weten. Volgens het bedrijf worden de aanvallen uitgevoerd door een botnet waarbij wordt geprobeerd om de NAS-systemen met malware te infecteren. GreyNoise roept eigenaren van een kwetsbaar NAS-systeem op om in ieder geval hun UPnP-configuratie te controleren.

 

bron: https://www.security.nl