อุปกรณ์เก็บข้อมูลบนเครือข่าย (NAS) ของ D-Link มากกว่า 60,000 เครื่อง ที่สิ้นสุดการให้บริการสนับสนุนไปแล้วนั้น (End-of-Life) ถูกตรวจพบว่ามีช่องโหว่ที่อาจถูกโจมตีได้ โดยขณะนี้มีโค้ดสำหรับโจมตีช่องโหว่นี้เผยแพร่สู่สาธารณะแล้ว
ช่องโหว่นี้ถูกระบุหมายเลข CVE-2024-10914 โดยมีคะแนนความรุนแรงระดับวิกฤตอยู่ที่ 9.2 จาก 10 โดยเกิดจากคำสั่ง ‘cgi_user_add’ ที่ไม่ได้ตรวจสอบความปลอดภัยของค่าพารามิเตอร์ชื่อ (name parameter) อย่างเพียงพอ
ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการแทรกคำสั่ง shell ต่างๆ ได้ เพียงแค่ส่งคำขอ HTTP GET ที่ได้รับการออกแบบมาเป็นพิเศษไปยังอุปกรณ์เหล่านั้น
โดย ช่องโหว่นี้ส่งผลกระทบต่ออุปกรณ์ D-Link NAS หลายรุ่นที่นิยมใช้ในธุรกิจขนาดเล็ก ได้แก่:
– DNS-320 เวอร์ชัน 1.00
– DNS-320LW เวอร์ชัน 1.01.0914.2012
– DNS-325 เวอร์ชัน 1.01 และ 1.02
– DNS-340L เวอร์ชัน 1.08
ในรายงานเชิงเทคนิคที่ให้รายละเอียดเกี่ยวกับการโจมตี นักวิจัยด้านความปลอดภัยจาก Netsecfish ระบุว่าการใช้ประโยชน์จากช่องโหว่นี้ โดยจะต้องส่ง “คำขอ HTTP GET ที่ใส่มาด้วยข้อมูลชื่อพารามิเตอร์ที่อาจจะเป็นอัตรายไปยังอุปกรณ์ NAS
curl “http://[Target-IP]/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27”
“อย่างเช่นคำสั่ง curl ด้านบนนี้จะสร้าง URL ที่เรียกใช้คำสั่ง cgi_user_add โดยมีชื่อพารามิเตอร์ที่มีการฝังคำสั่ง shell แทรกอยู่” นักวิจัย กล่าว
ด้านตัวแทนของ D-Link กล่าวว่าบริษัทไม่ได้ผลิตอุปกรณ์ NAS นี้อีกต่อไปแล้ว และผลิตภัณฑ์ที่ได้รับผลกระทบก็หมดอายุการใช้งาน (EoL) ไปแล้ว ซึ่งก็จะไม่ได้รับการอัปเดตความปลอดภัยด้วย
อ่านเพิ่มเติมที่นี่ – BPC
