CVE-2024-3273

D-Link Multiple NAS Devices

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-04-11

Официальное описание

D-Link DNS-320L, DNS-325, DNS-327L, and DNS-340L contain a command injection vulnerability. When combined with CVE-2024-3272, this can lead to remote, unauthorized code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-3273 представляет собой критическую уязвимость типа Command Injection (инъекция команд), возникающую из-за отсутствия должной фильтрации входных данных в скрипте nas_sharing.cgi.

Уязвимость эксплуатируется через параметр system, который передается в HTTP-запросе. В сочетании с CVE-2022-3272 (использование жестко заданных учетных данных для пользователя messagebus с пустым паролем), злоумышленник может получить несанкционированный удаленный доступ к устройству. Это позволяет выполнять произвольные команды на уровне операционной системы, что ведет к полной компрометации NAS, краже данных или включению устройства в ботнет.

Как исправить

Официального исправления (патча) для данных моделей не существует. Компания D-Link официально объявила, что устройства DNS-320L, DNS-325, DNS-327L и DNS-340L достигли стадии End of Life (EOL) и End of Service Life (EOSL).

Единственным надежным способом устранения уязвимости является полная замена оборудования на современные модели, которые получают регулярные обновления безопасности.

Если замена невозможна немедленно, необходимо полностью изолировать устройство от сети.

Временные меры

Если вы продолжаете использовать данные устройства, необходимо немедленно выполнить следующие действия для минимизации рисков:

  1. Полное отключение доступа извне Запретите любой входящий трафик к NAS из интернета. Удалите все правила проброса портов (Port Forwarding) и отключите UPnP на вашем роутере.

  2. Изоляция в отдельный VLAN Поместите NAS в изолированный сегмент сети (VLAN), который не имеет доступа к критическим узлам локальной сети и интернету.

  3. Блокировка доступа к веб-интерфейсу Ограничьте доступ к административной панели устройства только доверенными IP-адресами внутри локальной сети.

  4. Смена прошивки на альтернативную (на свой страх и риск) Для некоторых моделей DNS-320L/325 существуют сторонние прошивки с открытым исходным кодом (например, Alt-F), которые могут содержать исправления данных уязвимостей. Внимание: это может привести к потере данных или выходу устройства из строя.

  5. Мониторинг сетевой активности Настройте правила на сетевом экране для обнаружения попыток обращения к подозрительному эндпоинту:

/cgi-bin/nas_sharing.cgi
  1. Проверка наличия подозрительных процессов Если у вас есть доступ к shell, проверьте наличие неизвестных процессов и соединений:
netstat -tulpn


ps w
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей