Zum Inhalt springen
Neuer Bericht: Holen Sie sich Ihr Exemplar des State of the Internet Report 2024! | Heute herunterladen
Beratung

11. April 2024: Sicherheitslücke CVE-2024-3273 bei passwortlosen Backdoor-Geräten bei D-Link NAS-Geräten

Globale Auswirkungen (zum Zeitpunkt der Verbreitung)

- 4.100+ D-Link NAS-Geräte mit öffentlichem Zugang weltweit, insgesamt (spezifische und allgemeine Modelle)
- 460+ dieser Hosts verfügen über Fernzugriffsfunktionen
- 314+ dieser Hosts verfügen über VOIP-Funktionalität
- Hosts mit öffentlich zugänglichen Dateiverzeichnissen wurden entdeckt

Die am stärksten betroffenen Länder:
1. UK
2. Russland
3. Deutschland
4. Italien
5. Frankreich


Zusammenfassung

Censys ist bekannt, dass der Hersteller D-Link am 04. April 2024 die Schwachstelle CVE-2024-3273 veröffentlicht hat, die am 26. März 2024 von einem Forscher entdeckt wurde. Die Schwachstelle ermöglicht es einem entfernten Angreifer, die End-of-Life-Geräte (Network Attached Storage, NAS) DNS-320L, DNS-325, DNS-327L und DNS-340L zu übernehmen. D-Link weist jedoch darauf hin, dass diese Schwachstelle alle seine EOL-NAS-Geräte betrifft.
*Hinweis: Zählungen aus anderen Quellen listen exponierte Assets mit mehr als 92.000 Hosts auf. Censys geht davon aus, dass bei diesen Zählungen wahrscheinlich nicht überprüfbare Fingerabdruckprozesse und die Identifizierung von Vermögenswerten berücksichtigt wurden, wie dies in den in dieser Empfehlung verwendeten Abfragen der Fall war.
Asset-Beschreibung
D-Link NAS-Geräte sind "Network Attached Storage", die es Benutzern oder Organisationen ermöglichen, diese Datenspeichergeräte mit lokalen Netzwerken zu verbinden, um einen anpassbaren Fernzugriff zu ermöglichen. Der Hauptanwendungsfall vieler dieser Geräte ist die Sicherung wichtiger und manchmal sensibler Daten.

Aufprall

Die Schwachstelle ermöglicht es einem entfernten Angreifer, die Kontrolle über betroffene Geräte zu übernehmen, da er hartcodierte, passwortlose Anmeldeinformationen und eine Schwachstelle durch Command Injection aufweist, so der Entdecker.
Eine erfolgreiche Ausnutzung durch einen Angreifer kann dazu führen, dass Daten auf den ausgenutzten NAS-Geräten gestohlen und/oder zerstört werden. Dies könnte sich als erhebliches Risiko für Kunden erweisen, die D-Link NAS-Geräte zum Speichern sensibler Daten verwenden.
Ein Angreifer kann ein betroffenes Gerät auch verwenden, um beliebige Daten zu speichern (z. B. Malware oder andere Angreifertools) oder, wenn die Gerätekonfigurationen dies zulassen, dem Angreifer erlauben, zu anderen Punkten des angeschlossenen Opfernetzwerks zu springen.

Betroffene Vermögenswerte

Laut D-Link betrifft dies die EOL-NAS-Gerätemodelle DNS-320L, DNS-325, DNS-327L und DNS-340L, sagt aber auch, dass alle EOL-NAS-Geräte anfällig sind.
CensysDas Rapid Response Team war in der Lage, die folgenden neun D-Link NAS-Modelle zu identifizieren:
– DNS-320
– DNS-320L
– DNS-320LW
– DNS-325
– DNS-327L
– DNS-340L
– DNS-345
– DNR-202L
– DNR-322L
Censys zum Zeitpunkt dieser Veröffentlichung keine anderen spezifischen Modelle beobachtet hat und daher diese Modelle nicht genau identifizieren kann. Im Folgenden finden Sie Abfragen, die die oben genannten D-Link NAS-Modelle genau aufdecken, die öffentlich zugänglich sind und kürzlich bei unseren Scans beobachtet wurden. Wir haben auch umfassendere Abfragen hinzugefügt, die alle D-Link NAS-Geräte anzeigen, da D-Link sagt, dass alle Versionen betroffen sind.

Censys ASM-Risikoname für potenziell anfällige Geräte
Anfälliges D-Link NAS-Gerät [CVE-2024-3273]
Das oben genannte Risiko führt dazu, dass mit dem Internet verbundene D-Link-Geräte mit den oben genannten Modellnummern übereinstimmen und in Ihrem ASM-Arbeitsbereich angezeigt werden.
Censys ASM-Kunden werden feststellen, dass dieses Risiko auf die betroffenen Assets in ihren Arbeitsbereichen angewendet wird. Diejenigen, die sich für Rapid Response Automated Risk Alerting angemeldet haben, werden direkt bezüglich der betroffenen Assets kontaktiert.

Censys ASM-Abfrage für verfügbar gemachte Assets.
Die obige Abfrage findet D-Link-Geräte, die in Ihrem ASM-Arbeitsbereich angezeigt werden, ohne Modellspezifikationen, die auf der ShareCenter-Webui-Software für D-Link-Geräte basieren. Diese Abfrage richtet sich an diejenigen, die eine umfassendere Abfrage wünschen, um exponierte D-Link-Geräte weiter zu untersuchen, die nicht von den oben genannten Modellen abgedeckt werden.

Censys Search Fragen
werden direkt mit Censys Kundschaft. Wenn Sie die Censys Wenn Sie globale Instanzen im Zusammenhang mit diesem Problem identifizieren möchten oder Hilfe benötigen, wenden Sie sich bitte an uns.

Empfehlungen für die Behebung

von D-Link geben an, dass Besitzer von D-Link-Geräten, die EOL/EOS erreicht haben, diese nicht mehr verwenden und/oder ersetzen sollten.

Wenn Sie Hilfe bei der eindeutigen Identifizierung dieser Vermögenswerte benötigen, lassen Sie es uns bitte wissen.

Weitere Informationen zu dieser Situation finden Sie in diesem Blog von Censys Research.

Lösungen für das Management von Angriffsflächen
Mehr erfahren