Güvenlik araştırmacısı Netsecfish, birçok popüler D-Link NAS modelinde, kimliği doğrulanmamış bir saldırganın HTTP GET isteği yoluyla komut ekleme saldırısı gerçekleştirmesine olanak verebilecek kritik bir kusur keşfetti. Buna göre Netsecfish’in Notion sitesi (s/t BleepingBilgisayar), güvenlik açığı account_mgr.cgi betiğindedir ve burada istismarı yürütmek için name parametresine kötü amaçlı girdiyi ekleyebilirler. Bu sorun, Ulusal Güvenlik Açığı Veritabanında (NVD) CVE-2024-10914 olarak takip ediliyor ve 9,2 ciddiyet puanıyla kritik bir kusur olarak ilan ediliyor.
Aşağıdaki D-Link modelleri bu sorundan etkilenmektedir: DNS-320 Sürüm 1.00, DNS-320LW Sürüm 1.01.0914.2012, DNS-325 Sürüm 1.01, Sürüm 1.02 ve DNS-340L Sürüm 1.08.
Ne yazık ki bu cihazların kullanıcıları için D-Link, bu soruna yönelik bir güvenlik yaması yayınlamayı reddetti ve şunları belirtti: “EOL/EOS’ye ulaşan ürünler artık cihaz yazılımı güncellemelerini ve güvenlik yamalarını almıyor ve artık D-Link tarafından desteklenmiyor” .” Etkilenen modellerin tümü 2020 itibarıyla kullanım ömrü/hizmet sonu tarihine ulaştı ve “D-Link ABD, EOL/EOS’a ulaşmış D-Link cihazlarının kullanımdan kaldırılmasını ve değiştirilmesini öneriyor.”
Netsecfish, etkilenen D-Link modellerinin FOFA’sını gerçekleştirdi ve platform, 41.097 benzersiz IP adresiyle 61.147 sonuç döndürdü. NVD, saldırı karmaşıklığının yüksek olabileceğini ve güvenlik açığından yararlanmanın zor olabileceğini söylese de, bilgi ve yeteneğe sahip olan herkes teorik olarak halka açık bu D-Link NAS makinelerinden herhangi birine erişebilir.
Bu modellerden birini kullanıyorsanız NAS sisteminizi hâlâ üreticiden yama alan bir sistemle değiştirmeniz önemle tavsiye edilir. Bu şu anda mümkün değilse Netsecfish, NAS ayarları menünüze/arayüzünüze erişimi yalnızca güvenilir IP adresleriyle kısıtlamanızı önerir. Ayrıca, yalnızca yetkili kullanıcıların onunla etkileşimde bulunabilmesini sağlamak için NAS’ınızı genel internetten yalıtabilirsiniz.
Alternatif olarak, etkilenen donanımı destekleyen üçüncü taraf ürün yazılımını arayabilirsiniz. Ancak ürün yazılımını güvenilir bir kaynaktan indirdiğinizden emin olmalısınız. Ancak eviniz, ofisiniz veya işyeriniz için yeni bir NAS almanın zamanının geldiğini düşünüyorsanız, kuracağınız NAS’ı seçmeden önce en iyi NAS listemize göz atmalısınız.
