Ir al contenido
Nuevo informe: Consiga su copia del Informe sobre el estado de Internet 2024. | Descargar hoy
Asesoría

11 de abril de 2024: Vulnerabilidad de puerta trasera sin contraseña de dispositivos NAS de D-Link CVE-2024-3273

Impacto mundial (en el momento de la difusión)

- Más de 4.100 dispositivos NAS de D-Link de cara al público en todo el mundo, en total (modelos específicos y generales)
- 460+ de estos hosts tienen capacidades de acceso remoto
- 314+ de estos hosts tienen funcionalidad VOIP
- Se descubrieron hosts con directorios de archivos públicos

Principales países afectados:
1. REINO UNIDO
2. Rusia
3. Alemania
4. Italia
5. Francia


Resumen

Censys es consciente de que el 04 de abril de 2024, el fabricante D-Link publicó la vulnerabilidad CVE-2024-3273 que fue descubierta por un investigador el 26 de marzo de 2024. La vulnerabilidad permite que un atacante remoto se apodere de los dispositivos de almacenamiento conectado a la red (NAS) al final de su vida útil (EOL) DNS-320L, DNS-325, DNS-327L y DNS-340L; sin embargo, D-Link señala que esta vulnerabilidad afecta a todos sus dispositivos EOL NAS.
*Nota: los recuentos de otras fuentes enumeran los activos expuestos que superan los 92k hosts. Censys evalúa que es probable que estos recuentos no hayan tenido en cuenta los procesos de toma de huellas dactilares verificables y la identificación de activos, como se hace en las consultas utilizadas en este documento informativo.
Descripción del activo
Los dispositivos NAS de D-Link son "almacenamiento conectado a la red", lo que permite a los usuarios u organizaciones vincular estos dispositivos de almacenamiento de datos a redes locales para un acceso remoto y personalizable. El principal caso de uso de muchos de estos dispositivos es hacer copias de seguridad de datos importantes y, a veces, confidenciales.

Impacto

La vulnerabilidad permite a un atacante remoto tomar el control de los dispositivos afectados debido a las credenciales codificadas y sin contraseña y una vulnerabilidad de inyección de comandos, según el descubridor.
La explotación exitosa por parte de un atacante podría resultar en el robo y/o destrucción de los datos de los dispositivos NAS explotados. Esto podría suponer un riesgo importante para los clientes que utilizan dispositivos NAS de D-Link para almacenar datos confidenciales.
Un atacante también podría usar un dispositivo víctima para almacenar los datos que desee (como malware u otras herramientas del atacante) o, si las configuraciones del dispositivo lo permiten, permitir que el atacante salte a otros puntos de la red de la víctima conectada.

Activos afectados

Según D-Link, esto afecta a sus modelos de dispositivos EOL NAS DNS-320L, DNS-325, DNS-327L y DNS-340L, pero también dice que cualquiera de sus dispositivos EOL NAS es susceptible.
CensysEl Equipo de Respuesta Rápida pudo identificar los siguientes nueve modelos de NAS de D-Link:
– DNS-320
– DNS-320L
– DNS-320LW
– DNS-325
– DNS-327L
– DNS-340L
– DNS-345
– DNR-202L
– DNR-322L
Censys no observaron ningún otro modelo específico en el momento de esta publicación y, por lo tanto, no pueden identificar con precisión dichos modelos. A continuación se muestran consultas que descubrirán con precisión los modelos de NAS de D-Link antes mencionados que están de cara al público y que se han observado recientemente en nuestros escaneos. También hemos agregado consultas más amplias que muestran todos los dispositivos NAS de D-Link, ya que D-Link dice que todas las versiones se ven afectadas.

Censys Nombre de riesgo de ASM para dispositivos potencialmente vulnerables
Dispositivo NAS D-Link vulnerable [CVE-2024-3273]
El riesgo anterior produce dispositivos D-Link orientados a Internet que se corresponden con los números de modelo enumerados mencionados anteriormente que aparecen en su espacio de trabajo de ASM.
Censys Los clientes de ASM verán este riesgo aplicado a los activos afectados en sus espacios de trabajo. Aquellos que se hayan inscrito en Alertas de Riesgo Automatizadas de Respuesta Rápida serán contactados directamente con respecto a los activos afectados.

Censys Consulta de ASM para activos expuestos.
La consulta anterior encontrará dispositivos D-Link que aparecen en su espacio de trabajo de ASM, sin especificaciones de modelo basadas en el software de interfaz de usuario web ShareCenter para dispositivos D-Link. Esta consulta se proporciona para aquellos que deseen una consulta más amplia para investigar más a fondo los dispositivos D-Link expuestos que no están cubiertos por los modelos mencionados anteriormente.

Censys Consultas de búsqueda
se comparten directamente con Censys clientela. Si desea obtener el Censys Si desea identificar instancias globales relacionadas con este problema o necesita ayuda, póngase en contacto con nosotros.

Recomendaciones

de D-Link afirman que los propietarios de dispositivos D-Link que han alcanzado EOL/EOS deben dejar de usarlos y/o reemplazarlos.

Si necesita ayuda para identificar positivamente estos activos, háganoslo saber.

Para más información sobre esta situación, consulte este blog de Censys Research.

Soluciones de gestión de la superficie de ataque
Más información