Los actores de amenazas están escaneando y explotando activamente un par de fallas de seguridad que se dice que afectan hasta 92,000 dispositivos de almacenamiento conectado a la red (NAS) D-Link expuestos a Internet.
Rastreadas como CVE-2024-3272 (puntuación CVSS: 9,8) y CVE-2024-3273 (puntuación CVSS: 7,3), las vulnerabilidades afectan a los productos D-Link heredados que han alcanzado el estado de fin de vida útil (EoL). D-Link, en un aviso , dijo que no planea enviar un parche y en cambio insta a los clientes a reemplazarlo.
«La vulnerabilidad se encuentra en el uri nas_sharing.cgi, que es vulnerable debido a dos problemas principales: una puerta trasera facilitada por credenciales codificadas y una vulnerabilidad de inyección de comandos a través del parámetro del sistema», dijo el investigador de seguridad que se hace llamar netsecfish en finales de marzo de 2024.
La explotación exitosa de las fallas podría conducir a la ejecución de comandos arbitrarios en los dispositivos NAS D-Link afectados, otorgando a los actores de amenazas la capacidad de acceder a información confidencial, alterar las configuraciones del sistema o incluso desencadenar una condición de denegación de servicio (DoS).
Los problemas afectan a los siguientes modelos:
- DNS-320L
- DNS-325
- DNS-327L y
- DNS-340L
La firma de inteligencia de amenazas GreyNoise dijo que observó a atacantes que intentaban convertir las fallas en armas para entregar el malware botnet Mirai, haciendo posible controlar de forma remota los dispositivos D-Link.
A falta de una solución, la Fundación Shadowserver recomienda que los usuarios desconecten estos dispositivos o tengan acceso remoto al dispositivo con firewall para mitigar posibles amenazas.
Los hallazgos ilustran una vez más que las botnets Mirai se adaptan e incorporan continuamente nuevas vulnerabilidades a su repertorio, y los actores de amenazas desarrollan rápidamente nuevas variantes diseñadas para abusar de estos problemas para violar tantos dispositivos como sea posible.
Dado que los dispositivos de red se están convirtiendo en objetivos comunes para atacantes vinculados a estados nacionales y motivados financieramente, el desarrollo se produce cuando la Unidad 42 de Palo Alto Networks reveló que los actores de amenazas están cambiando cada vez más a ataques de escaneo iniciados por malware para señalar vulnerabilidades en las redes objetivo.
«Algunos ataques de escaneo se originan en redes benignas probablemente impulsadas por malware en máquinas infectadas», dijo la compañía .
«Al lanzar ataques de escaneo desde hosts comprometidos, los atacantes pueden lograr lo siguiente: cubrir sus rastros, evitar geocercas, expandir botnets y aprovechar los recursos de estos dispositivos comprometidos para generar un mayor volumen de solicitudes de escaneo en comparación con lo que podrían lograr usando sólo sus propios dispositivos».
Fuente y redacción: thehackernews.com
