Exploração das vulnerabilidades de dispositivos NAS da D-Link continua a aumentar

Um segundo identificador, com o nome de utilizador online ‘NetworkSecurityFish’, divulgou detalhes sobre vulnerabilidades do dispositivo de armazenamento conectado à rede (NAS) recentemente anunciadas da D-Link, numa altura em que as tentativas de exploração continuam a aumentar.

As falhas em questão podem permitir que um invasor não autenticado aceda a determinados dispositivos NAS da D-Link. Os ataques podem ser lançamentos ao desencadear um problema de credenciais codificadas, possibilitando o acesso remoto à interface de gestão web do dispositivo, assim como a um bug de injeção de comando.

Inicialmente o código de rastreio CVE-2024-3273 foi atribuído a ambas as falhas, mas foi agora atribuído um segundo identificador. Atualmente, o CVE-2024-3272 está associado à vulnerabilidade de credenciais codificadas, enquanto o CVE-2024-3273 remete para o bug de injeção de comando.

A D-Link publicou um comunicado recentemente para informar os seus clientes sobre as vulnerabilidades; porém, o fornecedor não está a lançar patches, uma vez que todos os produtos afetados atingiram o fim da sua vida útil. A empresa recomenda aos seus clientes a substituição dos dispositivos NAS impactados.

Em comunicado, o investigador NetworkSecurityFish identifica quatro modelos de dispositivos NAS afetados, que inicialmente eram os únicos listados no anúncio da D-Link. No entanto, a empresa já adicionou mais 16 modelos de dispositivos da série DNS ao seu comunicado.

Poucos dias após a deteção das vulnerabilidades CVE-2024-3273 e CVE-2024-3272 foram observadas as primeiras tentativas de exploração, cujo número, na altura, ainda era relativamente baixo.

A empresa de inteligência de ameaças GreyNoise identificou apenas ataques oriundos de um único endereço IP – um número que, atualmente, aumentou para 140 IP exclusivos. A Shadowserver Foundation, por sua vez, reportou ter observado mais de 150 IP a tentar explorar as vulnerabilidades em questão e constatou que alguns dos ataques estão associados a botnets Mirai, que geralmente abusam de dispositivos IoT para encetar ataques DDoS.

O investigador que divulgou as falhas afirmou ter visto mais de 92 mil dispositivos afetados conectados à Internet. Já a GreyNoise detetou cerca de 5.500 dispositivos impactados, enquanto a Shadowserver observou aproximadamente 2.400.

A agência de cibersegurança norte-americana CISA adicionou a CVE-2024-3273 e a CVE-2024-3272 ao seu catálogo de vulnerabilidades exploradas conhecidas, que inclui 16 vulnerabilidades adicionais de produtos D-Link. A CISA instruiu as agências governamentais a resolver ambas as falhas até dia 2 de maio.