ISGroup Consultoría de Ciberseguridad

Vulnerabilidad crítica de inyección de comandos OS en dispositivos NAS D-Link (CVE-2024-10914)

Los dispositivos NAS de D-Link (DNS-320, DNS-320LW, DNS-325 y DNS-340L) con firmware hasta la versión 20241028 están afectados por una vulnerabilidad crítica de inyección de comandos en el sistema operativo. Estos dispositivos se utilizan ampliamente en entornos personales y empresariales, y muchas instancias son accesibles en línea, lo que aumenta el riesgo de explotación. Aunque la complejidad del ataque es relativamente alta, el exploit no requiere autenticación y ha sido divulgado públicamente, lo que incrementa la probabilidad de ataques activos.

ProductoD-Link DNS ShareCenter
Fecha2024-11-29 13:25:34
Información
  • Tendencia
  • Solución disponible

Resumen técnico

La vulnerabilidad (CWE-78) reside en la función cgi_user_add dentro del endpoint /cgi-bin/account_mgr.cgi?cmd=cgi_user_add. El fallo se produce debido a una neutralización inadecuada de los elementos especiales en la entrada proporcionada por el usuario para el parámetro name. Esto permite a los atacantes inyectar comandos del sistema operativo, lo que conlleva a:

  • Violación de la confidencialidad: robo de datos confidenciales.
  • Compromiso de la integridad: modificación o destrucción de datos.
  • Impacto en la disponibilidad: interrupción de la funcionalidad del dispositivo o de las operaciones de red.

Aunque la explotación es técnicamente compleja, su naturaleza remota y la falta de requisitos de autenticación aumentan su criticidad. Existe un exploit público que podría ser utilizado por atacantes para comprometer los dispositivos vulnerables.

Recomendaciones

  1. Actualiza el firmware

    • Actualiza inmediatamente el firmware de los dispositivos afectados a la versión más reciente proporcionada por D-Link, la cual soluciona el problema.

  2. Limita el acceso

    • Limita el acceso a la interfaz administrativa configurando controles de acceso y permitiendo solo redes de confianza.

  3. Monitorea posibles exploits

    • Verifica regularmente el dispositivo para identificar signos de modificaciones no autorizadas o actividades anómalas.

  4. Aplica medidas de seguridad de red

    • Utiliza firewalls y sistemas de detección/prevención de intrusiones (IDS/IPS) para identificar y bloquear posibles intentos de intrusión.

[Callforaction-THREAT-Footer]

In