Sicurezza Informatica
Gravi vulnerabilità nei NAS e modem D-Link per assenza di patch su dispositivi EOL
Le vulnerabilità nei dispositivi D-Link EOL, senza patch, aumentano i rischi di attacchi nei NAS e modem esposti a internet.
Le vulnerabilità di sicurezza nei dispositivi D-Link giunti a fine vita (EOL) stanno esponendo più di 100.000 utenti a seri rischi di attacchi informatici, sfruttando falle di sicurezza in NAS e modem senza aggiornamenti. Tra questi, i dispositivi NAS delle serie DNS e i modem DSL6740C risultano particolarmente vulnerabili, con exploit disponibili pubblicamente che permettono ai malintenzionati di accedere a dati, modificare password e ottenere il controllo dei dispositivi. Nonostante i rischi, D-Link ha annunciato che non rilascerà patch, raccomandando piuttosto la disconnessione e la sostituzione dei dispositivi vulnerabili.
Vulnerabilità CVE-2024-10914 nei dispositivi NAS D-Link
Una vulnerabilità grave tracciata come CVE-2024-10914 è stata identificata in diversi modelli di dispositivi NAS D-Link giunti a fine vita, come il DNS-320, DNS-320LW, DNS-325 e DNS-340L. Questa falla consente a chiunque di inviare comandi arbitrari ai dispositivi sfruttando richieste HTTP GET opportunamente modificate, esponendo così a rischio i dispositivi connessi a internet. Il ricercatore Netsecfish ha scoperto che questa vulnerabilità si trova nel comando “cgi_user_add”, dove la parametrizzazione del nome non viene sufficientemente sanitizzata. Un attaccante può quindi sfruttare questa falla per inviare comandi shell e compromettere i dati e la sicurezza dei dispositivi NAS.
Il sistema di scansione FOFA ha rilevato più di 41.000 dispositivi vulnerabili connessi alla rete, molti dei quali utilizzati da piccole aziende e quindi esposti a seri rischi di attacchi ransomware e accessi non autorizzati. La sicurezza di questi dispositivi è ulteriormente aggravata dalla mancanza di aggiornamenti automatici, caratteristica di molti prodotti D-Link di vecchia generazione. D-Link ha confermato che non saranno rilasciati aggiornamenti per correggere questa falla, consigliando agli utenti di ritirare i dispositivi obsoleti o di isolarli dalla rete internet, se il ritiro non è possibile immediatamente. Gli utenti sono così costretti a gestire i rischi autonomamente, con gravi ripercussioni per la protezione dei dati.
Bug CVE-2024-11068 e altre vulnerabilità nei modem DSL6740C
Oltre ai dispositivi NAS, il modem DSL6740C di D-Link presenta altre vulnerabilità critiche, tra cui il CVE-2024-11068. Questo bug consente a un attaccante non autenticato di cambiare le password degli utenti e ottenere accesso completo al dispositivo, compresi i servizi web, SSH e Telnet. La gravità di questo difetto è sottolineata dal punteggio CVSS di 9.8, che indica una criticità estrema. Altre vulnerabilità rilevate, come il traversal path (CVE-2024-11067) e l’iniezione di comandi OS (CVE-2024-11066), offrono ulteriori vie di accesso non autorizzato ai dispositivi, esponendo i dati a potenziali compromissioni.
Questi modem, diffusi principalmente a Taiwan con circa 60.000 modelli vulnerabili, rappresentano un pericolo concreto per chi non adotta adeguate misure di protezione. In risposta alla scoperta di queste vulnerabilità, D-Link ha ribadito la sua politica di non supportare i dispositivi EOL e di non rilasciare patch per risolvere queste falle, raccomandando agli utenti di limitare l’accesso remoto e di impostare password più sicure. Tuttavia, questa misura è solo temporanea e non risolve la criticità della situazione, che richiede la disconnessione o la sostituzione del modem per evitare attacchi futuri.
L’assenza di patch per i dispositivi NAS e modem D-Link EOL, vulnerabili a exploit pubblici e attacchi mirati, evidenzia l’importanza di ritirare o isolare tali dispositivi dalla rete pubblica. D-Link suggerisce il ritiro immediato di questi modelli per limitare i rischi associati alla loro obsolescenza e vulnerabilità, ma la mancata disponibilità di aggiornamenti per dispositivi critici lascia molte aziende esposte a gravi minacce di sicurezza.