Cyble Global Sensor Intelligence observó una explotación activa de la vulnerabilidad crítica de D-Link Recientemente, la comunidad de seguridad ha expresado su preocupación con respecto a las vulnerabilidades encontradas en los dispositivos de almacenamiento conectado a la red (NAS) D-Link. Las vulnerabilidades, identificadas como CVE-2024-3272 y CVE-2024-3273, fueron reveladas inicialmente por un individuo que utiliza el alias «netsecfish» en GitHub el 26 de marzo de 2024. D-Link reveló lo mismo el 4 de abril de 2024. La publicación de GitHub del 26 de marzo destacó que la solicitud HTTP maliciosa tiene como objetivo explotar el punto final vulnerable de los dispositivos NAS D-Link afectados, generando así un interés significativo dentro de la comunidad de seguridad cibernética. La gravedad del problema se puede entender por el hecho de que la red Cyble Global Sensor Intelligence (CGSI) detectó intentos de explotación en curso de estas vulnerabilidades desde el mismo 9 de abril. Esto también indica la rápida utilización como arma de exploits disponibles públicamente por parte de actores de amenazas (TA) dirigidos a NAS D-Link vulnerables expuestos a Internet. La siguiente figura muestra los intentos de explotación observados en una de las instancias de CGSI. Figura 1: Intento de explotación de las vulnerabilidades del NAS D-Link observadas a través de la red CGSI Los hallazgos de CGSI también indican que la mayoría de estos ataques se originan en China. Figura 2: Intento de explotación observado por la red CGSI Durante el monitoreo de rutina de los foros de cibercrimen, Cyble Researcher & Intelligence Labs (CRIL) observó una publicación en un destacado foro ruso de cibercrimen el 8 de abril de 2024 sobre un actor de amenazas (TA) que compartía un exploit para atacar las instancias vulnerables de D-Link NAS afectadas con CVE-2024-3273. Para respaldar las afirmaciones, el TA compartió además el resultado del exploit ejecutado con éxito en una instancia implementada en localhost, junto con el resultado del comando «id» que refleja el UID del usuario como 0, para demostrar el acceso a la cuenta raíz. Figura 3: TA comparte un exploit para CVE-2024-3273 en un foro sobre delitos cibernéticos Detalles de la vulnerabilidad La vulnerabilidad encontrada en las versiones afectadas de D-Link proviene del script CGI nas_sharing.cgi. D-Link ha recomendado retirar estos productos y reemplazarlos con productos que reciban actualizaciones de firmware, ya que los productos de fin de vida útil (EOL)/fin de soporte (EOS) ya no son compatibles. Se detiene todo desarrollo de firmware para estos productos. Uso de credenciales codificadas (CVE-2024-3272) La vulnerabilidad se incluye en la categoría de gravedad crítica y permite a un atacante remoto manipular el argumento «usuario» utilizando la entrada «bus de mensajes», revelando así credenciales codificadas. Inyección de comandos (CVE-2024-3273) La vulnerabilidad cae dentro de la categoría de alta gravedad y permite que un atacante remoto manipule el parámetro «sistema», lo que conduce a la inyección de comandos. Al explotar ambas vulnerabilidades en conjunto, un atacante podría ejecutar efectivamente comandos arbitrarios en el sistema. Esto podría resultar en acceso no autorizado a datos confidenciales, alteraciones en las configuraciones del sistema o la creación de situaciones de denegación de servicio. Productos afectados D-Link DNS-320L, DNS-325, DNS-327L y DNS-340L hasta 20240403 Exposición a Internet de D-Link NAS En el momento de publicar este análisis, los investigadores de Cyble observaron que 94,446 DLink NAS expuestos a Internet estaban expuestos a través de La Internet. La mayoría de los casos expuestos corresponden al Reino Unido, Tailandia, Italia, Alemania y Hungría (como se muestra a continuación). Conclusión La explotación continua de los dispositivos NAS D-Link por parte de actores de amenazas, detectada por la red CGSI, representa un desarrollo preocupante para las organizaciones públicas y privadas. La importancia de la amenaza que surge de los dispositivos NAS de D-Link que han alcanzado su estado de fin de vida útil (EOL)/fin de servicio (EOS), están expuestos a través de Internet y son fácilmente explotables debido a la disponibilidad de exploits públicos, es extremadamente catastrófico y puede tener un efecto en cascada en las posturas de seguridad de varias organizaciones. Las vulnerabilidades presentes en los dispositivos NAS suponen un grave riesgo, ya que la explotación no sólo compromete la integridad y seguridad del dispositivo afectado sino que también se extiende a otros dispositivos interconectados dentro de la red. Esta interconexión amplifica el impacto potencial, exponiendo las redes empresariales a riesgos y vulnerabilidades importantes. Recomendaciones Actualizar o reemplazar: priorice la actualización a versiones compatibles o el reemplazo de productos EOL/EOS con alternativas más nuevas que reciban actualizaciones y parches de seguridad periódicamente. Segmentación y aislamiento: Separe los productos EOL/EOS en segmentos de red aislados para minimizar su exposición a amenazas potenciales y limitar su impacto en la red general si se ven comprometidos. Implemente medidas de seguridad adicionales: implemente controles de seguridad adicionales, como firewalls, sistemas de detección de intrusiones (IDS) y soluciones de monitoreo de red para mejorar la postura de seguridad de los productos EOL/EOS. Evaluaciones y monitoreo de seguridad periódicos: realice evaluaciones de seguridad periódicas y escaneos de vulnerabilidades para identificar y abordar cualquier debilidad o vulnerabilidad en los productos EOL/EOS. Implementar un monitoreo continuo para detectar y responder oportunamente a incidentes de seguridad. Estrategias de mitigación de riesgos: desarrollar e implementar estrategias de mitigación de riesgos adaptadas a los productos EOL/EOS, incluidos planes de contingencia para posibles incidentes de seguridad y medidas de continuidad del negocio para minimizar las interrupciones. Comunicación y colaboración con el proveedor: mantenga una comunicación abierta con el proveedor para consultar sobre posibles opciones de soporte extendido, avisos de seguridad o soluciones alternativas para productos EOL/EOS. Colabore con el proveedor y la comunidad de ciberseguridad para abordar los problemas de seguridad de manera efectiva. Concientización y capacitación del usuario: Proporcionar programas integrales de capacitación y concientización sobre ciberseguridad para usuarios y administradores de productos EOL/EOS. Infórmeles sobre los riesgos asociados con el uso de software no compatible y enfatice la importancia de cumplir con las mejores prácticas de seguridad para mitigar esos riesgos de manera efectiva. Indicadores de Compromiso (IOC) Indicadores Tipo de indicador Descripción 47[.]94[.]155[.]169 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 8[.]134[.]81[.]86 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 171[.]244[.]23[.]11 Dirección IP Direcciones IP observadas intentando explotar CVE-2024-3273. 120[.]79[.]250[.]151 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 35[.]229[.]184[.]234 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 182[.]253[.]115[.]123 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 202[.]79[.]171[.]107 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 116[.]198[.]40[.]76 direcciones IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 121[.]41[.]56[.]249 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 114[.]67[.]183[.]11 Dirección IP Direcciones IP observadas intentando explotar CVE-2024-3273. 183[.]56[.]199[.]229 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 116[.]62[.]192[.]107 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 80[.]94[.]92[.]60 direcciones IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 91[.]215[.]85[.]61 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 14[.]225[.]53[.]162 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 112[.]111[.]0[.]102 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 186[.]251[.]21[.]234 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 51[.]79[.]19[.]53 Dirección IP Direcciones IP observadas intentando explotar CVE-2024-3273. 115[.]220[.]2[.]96 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 39[.]98[.]218[.]14 Dirección IP Direcciones IP observadas intentando explotar CVE-2024-3273. 120[.]196[.]56[.]220 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. 14[.]116[.]254[.]172 Dirección IP Se observaron direcciones IP que intentaban explotar CVE-2024-3273. Referencias https://github.com/netsecfish/dlinkhttps://vuldb.com/?id.259284 La publicación Vulnerabilidad crítica del NAS D-Link bajo explotación activa apareció por primera vez en Cyble.