Los actores de amenazas están escaneando y explotando activamente un par de fallas de seguridad que se dice que afectan hasta 92,000 dispositivos de almacenamiento conectado a la red (NAS) D-Link expuestos a Internet.
Seguimiento como CVE-2024-3272 (Puntuación CVSS: 9,8) y CVE-2024-3273 (Puntuación CVSS: 7,3), las vulnerabilidades impactan Productos D-Link heredados que han alcanzado el estado de fin de vida (EoL). D-Link, en un consultivodijo que no planea enviar un parche y, en cambio, insta a los clientes a reemplazarlo.
«La vulnerabilidad se encuentra en el uri nas_sharing.cgi, que es vulnerable debido a dos problemas principales: una puerta trasera facilitada por credenciales codificadas y una vulnerabilidad de inyección de comandos a través del parámetro del sistema», dijo el investigador de seguridad que se conoce con el nombre de netsecfish. dicho a finales de marzo de 2024.
La explotación exitosa de las fallas podría conducir a la ejecución de comandos arbitrarios en los dispositivos NAS D-Link afectados, otorgando a los actores de amenazas la capacidad de acceder a información confidencial, alterar las configuraciones del sistema o incluso desencadenar una condición de denegación de servicio (DoS).
Los problemas afectan a los siguientes modelos:
- DNS-320L
- DNS-325
- DNS-327L y
- DNS-340L
Empresa de inteligencia de amenazas GreyNoise dicho observó atacantes intentando utilizar las fallas como arma para entregar el malware botnet Mirai, haciendo posible controlar de forma remota los dispositivos D-Link.
A falta de una solución, la Fundación Shadowserver está recomendando que los usuarios desconecten estos dispositivos o tengan acceso remoto al dispositivo con firewall para mitigar posibles amenazas.
Los hallazgos ilustran una vez más que las botnets Mirai se adaptan e incorporan continuamente nuevas vulnerabilidades a su repertorio, y los actores de amenazas desarrollan rápidamente nuevas variantes diseñadas para abusar de estos problemas para violar tantos dispositivos como sea posible.
Dado que los dispositivos de red se están convirtiendo en objetivos comunes para atacantes vinculados a estados nacionales y motivados financieramente, el desarrollo se produce cuando la Unidad 42 de Palo Alto Networks reveló que los actores de amenazas están cambiando cada vez más a ataques de escaneo iniciados por malware para señalar vulnerabilidades en las redes objetivo.
«Algunos ataques de escaneo se originan en redes benignas probablemente impulsadas por malware en máquinas infectadas», dijo la compañía. dicho.
«Al lanzar ataques de escaneo desde hosts comprometidos, los atacantes pueden lograr lo siguiente: cubrir sus rastros, eludir geocercas, expandir botnets, [and] aprovechando los recursos de estos dispositivos comprometidos para generar un mayor volumen de solicitudes de escaneo en comparación con lo que podrían lograr usando solo sus propios dispositivos».