Nhà nghiên cứu “Netsecfish” vừa tiết lộ lỗ hổng trong nhiều mẫu thiết bị D-Link Network Attached Storage (NAS). 

Lỗ hổng CVE-2024-3273 nằm trong tập lệnh ‘/cgi-bin/nas_sharing.cgi’, ảnh hưởng đến thành phần HTTP GET Request Handler. 

Nhà nghiên cứu cảnh báo: “Việc khai thác thành công lỗ hổng cho phép kẻ tấn công thực thi các lệnh tùy ý trên hệ thống, có khả năng dẫn đến truy cập trái phép vào thông tin nhạy cảm, sửa đổi cấu hình hệ thống hoặc từ chối các điều kiện dịch vụ”. 

Các mẫu thiết bị ảnh hưởng bởi CVE-2024-3273 gồm: 

• DNS-320L Phiên bản 1.11, Phiên bản 1.03.0904.2013, Phiên bản 1.01.0702.2013 
• DNS-325 Phiên bản 1.01 
• DNS-327L Phiên bản 1.09, Phiên bản 1.00.0409.2013 
• DNS-340L Phiên bản 1.08 

Netsecfish cho biết quá trình quét mạng cho thấy hơn 92.000 thiết bị NAS D-Link có thể bị tấn công trực tuyến thông qua lỗ hổng này. 

Sau khi được thông báo về lỗ hổng, D-Link cho biết các thiết bị NAS này đã hết vòng đời (EOL) và không còn được hỗ trợ. “D-Link khuyên bạn nên ngừng sử dụng các sản phẩm này và thay thế chúng bằng các sản phẩm nhận được bản cập nhật firmware”. 

Nguồn: Bleeping Computer