W urządzeniach NAS D-Link z serii DNS-320L, DNS-325, DNS-327L oraz DNS-340L wykryto zakodowane na stałe poświadczenia dostępowe (hard-coded credentials) w komponencie obsługi żądań HTTP GET. Podatność jest krytyczna, aktywnie wykorzystywana i dotyczy wyłącznie urządzeń, dla których producent zakończył wsparcie.
▸ Pokaż oryginał (EN)
** UNSUPPORTED WHEN ASSIGNED ** A vulnerability, which was classified as very critical, has been found in D-Link DNS-320L, DNS-325, DNS-327L and DNS-340L up to 20240403. This issue affects some unknown processing of the file /cgi-bin/nas_sharing.cgi of the component HTTP GET Request Handler. The manipulation of the argument user with the input messagebus leads to hard-coded credentials. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-259283. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. NOTE: Vendor was contacted early and confirmed immediately that the product is end-of-life. It should be retired and replaced.
Podatność występuje w pliku /cgi-bin/nas_sharing.cgi, który obsługuje żądania HTTP GET. Manipulacja parametrem 'user' z wartością 'messagebus' pozwala na wykorzystanie zakodowanych na stałe poświadczeń wbudowanych w oprogramowanie urządzenia. Atak nie wymaga uwierzytelnienia, interakcji użytkownika ani szczególnych uprawnień i może być przeprowadzony zdalnie przez sieć. Exploit został upubliczniony i jest aktywnie wykorzystywany.
Atakujący może uzyskać nieautoryzowany, pełny dostęp do urządzenia, co zagraża poufności, integralności i dostępności przechowywanych danych oraz całego systemu. Możliwe jest przejęcie kontroli nad urządzeniem NAS bez znajomości jakichkolwiek legalnych poświadczeń.
Producent D-Link oficjalnie potwierdził status end-of-life tych urządzeń i nie planuje wydania poprawki. Zaleca się natychmiastowe wycofanie urządzeń z eksploatacji i zastąpienie ich wspieranymi modelami. Jako środek tymczasowy należy odizolować urządzenia od sieci publicznej, zablokować dostęp do portu usługi nas_sharing.cgi na poziomie firewall oraz ograniczyć dostęp wyłącznie do zaufanych hostów w sieci wewnętrznej.
D-Link DNS-320L, DNS-325, DNS-327L oraz DNS-340L we wszystkich wersjach firmware do 20240403 włącznie. Producent potwierdził, że produkty te osiągnęły status end-of-life i nie są już objęte wsparciem.
Podatność dotyczy wyłącznie urządzeń bez wsparcia producenta (end-of-life). D-Link został poinformowany przed publikacją i natychmiast potwierdził status EOL produktów. Exploit został upubliczniony w repozytorium GitHub (github.com/netsecfish/dlink). Identyfikator VDB-259283 w bazie VulDB.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDlink Dnr 202l
HWDlinkwszystkie wersjeDlink Dnr 202l Firmware
OSDlinkwszystkie wersjeDlink Dnr 322l
HWDlinkwszystkie wersjeDlink Dnr 322l Firmware
OSDlinkwszystkie wersjeDlink Dnr 326
HWDlinkwszystkie wersjeDlink Dnr 326 Firmware
OSDlinkwszystkie wersjeDlink Dns 1100 4
HWDlinkwszystkie wersjeDlink Dns 1100 4 Firmware
OSDlinkwszystkie wersjeDlink Dns 120
HWDlinkwszystkie wersjeDlink Dns 1200 05
HWDlinkwszystkie wersjeDlink Dns 1200 05 Firmware
OSDlinkwszystkie wersjeDlink Dns 120 Firmware
OSDlinkwszystkie wersjeDlink Dns 1550 04
HWDlinkwszystkie wersjeDlink Dns 1550 04 Firmware
OSDlinkwszystkie wersjeDlink Dns 315l
HWDlinkwszystkie wersjeDlink Dns 315l Firmware
OSDlinkwszystkie wersjeDlink Dns 320
HWDlinkwszystkie wersjeDlink Dns 320 Firmware
OSDlinkwszystkie wersjeDlink Dns 320l
HWDlinkwszystkie wersjeDlink Dns 320l Firmware
OSDlink1.01.0702.20131.03.0904.20131.11Dlink Dns 320lw
HWDlinkwszystkie wersjeDlink Dns 320lw Firmware
OSDlinkwszystkie wersjeDlink Dns 321
HWDlinkwszystkie wersjeDlink Dns 321 Firmware
OSDlinkwszystkie wersjeDlink Dns 323
HWDlinkwszystkie wersjeDlink Dns 323 Firmware
OSDlinkwszystkie wersjeDlink Dns 325
HWDlinkwszystkie wersjeDlink Dns 325 Firmware
OSDlink1.01Dlink Dns 326
HWDlinkwszystkie wersjeDlink Dns 326 Firmware
OSDlinkwszystkie wersje
CISA KEV — szczegółyi
- Dostawcai
- D-Link
- Produkti
- Multiple NAS Devices
- Data dodania do KEVi
- 11 kwietnia 2024
- Termin remediation (USA)i
- 2 maja 2024(po terminie)
Ta luka dotyczy starszych produktów D-Link. Wszystkie powiązane wersje sprzętu osiągnęły koniec życia (EOL) lub koniec serwisu (EOS) i powinny być wycofane i wymienione zgodnie z instrukcjami producenta.
▸ Pokaż oryginał (EN)
This vulnerability affects legacy D-Link products. All associated hardware revisions have reached their end-of-life (EOL) or end-of-service (EOS) life cycle and should be retired and replaced per vendor instructions.
D-Link DNS-320L, DNS-325, DNS-327L i DNS-340L zawiera stwardzone poświadczenia, które umożliwiają atakującemu przeprowadzenie uwierzytelnionego command injection, prowadzącego do zdalnego, nieautoryzowanego wykonania kodu.
▸ Pokaż oryginał (EN)
D-Link DNS-320L, DNS-325, DNS-327L, and DNS-340L contains a hard-coded credential that allows an attacker to conduct authenticated command injection, leading to remote, unauthorized code execution.
Powiązane podatności
D-Link DNS-320 FW v2.06B01 Revision Ax is affected by command injection in the system_mgr.cgi component, which...
The login_mgr.cgi script in D-Link DNS-320 through 2.05.B10 is vulnerable to remote command injection.
Command injection w D-Link DNS-343 ShareCenter – zdalny dostęp root
Command injection w D-Link DNS-320/325/340L — zdalne wykonanie poleceń OS
Command injection w D-Link DNS-320/325/340L przez parametr group