Vulnerabilidade em sistemas NAS da D-Link afeta 92 mil dispositivos
Um investigador de segurança revelou uma nova falha, que afeta vários dispositivos NAS da D-Link, a maioria que já se encontram em fim de suporte oficial da empresa.
A falha afeta o próprio sistema da NAS, e sobre certas condições, pode permitir que os atacantes enviem remotamente código malicioso para o mesmo, através da exploração de um nome de utilizador que se encontra integrado no código do sistema – mas não diretamente acessível pelos meios tradicionais.
A descoberta foi realizada pelo investigador de segurança “Netsecfish”, e segundo o mesmo, encontra-se associado com a forma como uma página da interface da NAS recebe os parâmetros dos pedidos. Usando um nome de utilizador integrado no próprio sistema, e do qual o utilizador final não possui controlo, é possível enviar comandos remotos para realizar várias alterações no sistema.
Esta falha afeta todos os sistemas NAS da D-Link que tenham os sistemas:
- DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
- DNS-325 Version 1.01
- DNS-327L Version 1.09, Version 1.00.0409.2013
- DNS-340L Version 1.08
Realizando uma análise pela internet de dispositivos possivelmente vulneráveis, o investigador afirma que existem mais de 92.000 dispositivos identificados que se enquadram nestes parâmetros.
A D-Link terá sido também informada da falha, e embora exista um elevado número de dispositivos afetados, a empresa afirma que esta afeta apenas dispositivos que se encontram em fim de vida e suporte oficial, e portanto, uma atualização para os mesmos não será diretamente fornecida.
A única recomendação da empresa será que os clientes atualizem os seus produtos para as versões mais recentes, que contam com atualizações mais recentes de segurança no software. No entanto, esta alteração nem sempre é possível para todas as entidades, deixando assim uma vasta quantidade de utilizadores e possivelmente empresas afetadas.
Ao mesmo tempo, a maioria dos dispositivos afetados não possuem sistemas de atualização automática do software. Como tal, mesmo que um patch fosse fornecido para os mesmos, os clientes ainda o teriam de instalar manualmente – algo que nem sempre é também realizado.