CVE-2024-3272

D-Link Multiple NAS Devices

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-04-11

Официальное описание

D-Link DNS-320L, DNS-325, DNS-327L, and DNS-340L contains a hard-coded credential that allows an attacker to conduct authenticated command injection, leading to remote, unauthorized code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-3272 представляет собой критическую брешь в безопасности устаревших сетевых хранилищ (NAS) D-Link. Проблема заключается в наличии жестко закодированных учетных данных (логин: messagebus, пароль пустой) в сочетании с уязвимостью типа Command Injection в скрипте nas_sharing.cgi.

Злоумышленник может использовать эти данные для авторизации в системе и последующей отправки специально сформированных HTTP-запросов. Это позволяет выполнять произвольные системные команды с правами root, что ведет к полному захвату устройства, краже данных или установке вредоносного ПО (например, ботнетов Mirai).

Как исправить

Официального исправления (патча) для данной уязвимости не существует. Компания D-Link официально объявила, что затронутые модели (DNS-320L, DNS-325, DNS-327L, DNS-340L) достигли стадии End of Life (EOL) и End of Service Life (EOSL).

Единственным надежным способом устранения риска является замена оборудования на современные модели, получающие обновления безопасности.

Если замена невозможна немедленно, рекомендуется переход на альтернативные прошивки с открытым исходным кодом (например, Alt-F), однако это делается на страх и риск владельца и может привести к потере данных.

Временные меры

Если вы вынуждены продолжать эксплуатацию данных устройств, необходимо немедленно принять следующие меры для минимизации поверхности атаки:

  1. Изоляция от внешней сети Убедитесь, что NAS не имеет прямого доступа из интернета. Отключите проброс портов (Port Forwarding) и функции UPnP на вашем роутере для портов 80 и 443, ведущих к NAS.

  2. Использование VPN Для удаленного доступа к файлам используйте защищенный VPN-туннель (WireGuard, OpenVPN), развернутый на роутере или отдельном сервере, а не прямую публикацию веб-интерфейса NAS.

  3. Сетевая сегментация Поместите NAS в отдельный изолированный VLAN, доступ к которому ограничен только доверенными IP-адресами внутри локальной сети.

  4. Запрет исходящего трафика Настройте правила Firewall на шлюзе, чтобы запретить NAS инициировать любые соединения с внешними IP-адресами. Это предотвратит загрузку полезной нагрузки и связь с командными серверами (C2) злоумышленников.

  5. Проверка активных сессий Проверьте список запущенных процессов на наличие подозрительной активности:

ps w
  1. Остановка веб-интерфейса (радикально) Если устройство используется только как файловое хранилище по протоколу SMB/NFS, можно попытаться остановить веб-сервер, через который проходит атака (до перезагрузки):
/shm/nos-httpd stop
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей