NAS a marchio D-Link: oltre 60.000 dispositivi sarebbero affetti dalla vulnerabilità nota come CVE-2024-10914, che ha ricevuto un punteggio di 9.2 per la sua gravità. D-Link ha consigliato di cambiare NAS o di rimuoverli dall’accesso a Internet.
E questo periodo espone uno dei problemi più grandi che affliggono la modernità umana, la presenza in operatività di dispositivi (modem, NAS, disposititi IoT, firewall hardware ecc.) obsoleti ovvero non più supportati dalle case costruttrici che ovviamente tendono a voler vendere i nuovi dispositivi.
Firmware e software interni quindi non più aggiornati che espongono gli utenti finali a pericoli derivanti dalla connessione in Internet.
La vulnerabilità, scoperta dai ricercatori di sicurezza di Netsecfish, è tale per cui un NAS esposto a Internet può essere compromesso grazie a un trattamento improprio degli input del comando “cgi_user_add”: il fatto che gli input non vengano appropriatamente “sanificati”, ovvero che non vengano controllati in maniera tale da rimuovere possibili abusi, fa sì che sia possibile eseguire qualunque comando.
https://github.com/netsecfish/dlink
Si segnala che D-Link ha cessato la produzione di NAS e tutti i suoi dispositivi sono considerati obsoleti almeno dal 2020; il supporto per il modello DNS-325 è terminato nel 2017.
