Lebih dari 60.000 perangkat penyimpanan jaringan D-Link yang masa pakainya sudah habis rentan terhadap kerentanan injeksi perintah dengan eksploitasi yang tersedia untuk umum.
Bug tersebut, dilacak sebagai CVE-2024-10914, memiliki tingkat keparahan kritis 9,2 dan terdapat dalam perintah 'cgi_user_add' di mana parameter nama tidak cukup dibersihkan.
Penyerang yang tidak diautentikasi dapat menggunakannya untuk memasukkan perintah shell arbitrer dengan mengirimkan permintaan HTTP GET yang dibuat khusus ke perangkat.
Bug ini memengaruhi beberapa model perangkat penyimpanan D-Link (NAS) yang biasa digunakan oleh usaha kecil:
DNS-320 Versi 1.00 DNS-320LV Versi 1.01.0914.2012 DNS-325 Versi 1.01, Versi 1.02 DNS-340L Versi 1.08
Dalam kertas putih yang merinci eksploitasi tersebut, peneliti keamanan Netsecfish mengatakan bahwa mengeksploitasi kerentanan memerlukan pengiriman “permintaan HTTP GET yang dibuat ke perangkat NAS dengan entri berbahaya di parameter nama.”
curl “http://(Target-IP)/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;;%27”
“Permintaan curl ini membuat URL yang menjalankan perintah cgi_user_add dengan parameter nama yang menyertakan perintah shell yang disuntikkan,” jelas peneliti.
Pencarian yang dilakukan oleh Netsecfish pada platform FOFA menghasilkan 61.147 hasil pada 41.097 alamat IP unik untuk perangkat D-Link yang rentan terhadap CVE-2024-10914.
Hasil pemindaian FOFA untuk perangkat D-Link NAS yang terbuka Sumber: Netsecfish
Dalam buletin keamanan hari ini, D-Link mengonfirmasi bahwa perbaikan untuk CVE-2024-10914 belum tersedia dan vendor merekomendasikan agar pengguna mengingat kembali produk yang rentan.
Jika saat ini hal ini tidak memungkinkan, pengguna setidaknya harus mengisolasi mereka dari Internet publik atau menempatkan mereka dalam kondisi akses yang ketat.
Pada bulan April tahun ini, peneliti yang sama menemukan injeksi perintah sewenang-wenang dan bug latar belakang hard-code, yang dilacak sebagai CVE-2024-3273, memengaruhi sebagian besar model D-Link NAS yang sama dengan bug terbaru.
Kemudian pemindaian internet FOFA memberikan hasil 92.589.
Menanggapi situasi saat itu, juru bicara D-Link mengatakan kepada BleepingComputer bahwa perusahaan jaringan tersebut tidak lagi memproduksi perangkat NAS, dan produk yang terpengaruh telah mencapai EoL dan tidak akan menerima pembaruan keamanan.