Dispositivos NAS D-Link expuestos con backdoor

Iniciado por AXCESS, Abril 08, 2024, 11:14:44 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Abril 08, 2024, 11:14:44 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hace años el fabricante D-Link lanzó al mercado varios modelos de servidores NAS, con funciones para compartir archivos en red local, gestor de descargas P2P e incluso la posibilidad de realizar copias de seguridad de archivos o equipos.

Los modelos que lanzó en su día fueron los D-Link DNS-320L, DNS-325, DNS-327L y DNS-340L, los cuales ya son EOL (End of Life), es decir, no recibirán más actualizaciones de firmware para solucionar fallos o incorporar nuevas funciones.

Ahora se ha descubierto una vulnerabilidad grave en estos NAS, y el fabricante no solucionará este fallo de seguridad.

Este fallo de seguridad ha sido catalogada como grave.

En qué consiste esta vulnerabilidad

Esta vulnerabilidad que se ha detectado afecta a la uri nas_sharing.cgi del firmware, de hecho, es vulnerable debido a dos problemas principales:

•    Puerta trasera (backdoor) debido a credenciales que están en el propio firmware: esta vulnerabilidad no es demasiado habitual, pero sí se han dado casos en los que ha sucedido. Esto ocurre porque el fabricante a la hora de compilar el firmware, también introduce credenciales de acceso dentro del firmware.
 
Siguiendo las buenas prácticas de programación y seguridad, nunca se deberían introducir credenciales «hardcodeadas» en los firmwares, porque si se descubren, automáticamente se podría tener acceso como root. Esto supone que se podría tener acceso no autorizado sin la autenticación adecuada.

•    Vulnerabilidad de inyección de comandos: este fallo de seguridad permite inyectar cualquier comando como si estuviéramos conectados vía Telnet o SSH, esto se produce a través de un parámetro del sistema.

La explotación de estas vulnerabilidades conduce a la ejecución de cualquier comando arbitrario en los servidores NAS, proporcionando a los atacantes acceso potencial a información confidencial, alteración de la configuración del sistema o simplemente una denegación de servicio para que no se pueda usar hasta que se reinicie.

Según algunos buscadores tipo Shodan, hay casi 100.000 servidores NAS en línea que están afectados por esta vulnerabilidad, y que se podrían atacar a través de Internet sin ningún problema. Además, se tiene en una red privada sin acceso a Internet, y cualquiera se conecta a dicha red, también podrían explotar esta vulnerabilidad que está catalogada como grave.

Más de 92.000 servidores NAS abiertos a lo largo y ancho del mundo, lo que constituye un verdadero riesgo para los usuarios. Los servidores NAS afectados por esta vulnerabilidad que han descubierto son:

•    DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013

•    DNS-325 Version 1.01

•    DNS-327L Version 1.09, Version 1.00.0409.2013

•    DNS-340L Version 1.08

El informe completo del investigador de seguridad que ha subido toda la información a GitHub:
 
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

De hecho, ya existe un exploit capaz de explotar esta vulnerabilidad y tomar el control de los servidores NAS afectados:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía (Compendio y traducción al español):
RedesZone
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario