Ciberseguridad 360 | Error crítico de RCE deja 92 000 dispositivos NAS D-Link vulnerados

Est�n atacando activamente m�s de 92.000 dispositivos de almacenamiento en red (NAS) de D-Link expuestos en l�nea y sin parches contra un fallo cr�tico de d�a cero de ejecuci�n remota de c�digo (RCE).

Como se inform� por primera vez el s�bado, esta vulnerabilidad de seguridad (CVE-2024-3273) es el resultado de una puerta trasera facilitada a trav�s de una cuenta codificada (nombre de usuario "messagebus" con una contrase�a vac�a) y un problema de inyecci�n de comandos a trav�s del par�metro "system".

Los actores de amenazas est�n encadenando ahora estos dos fallos de seguridad para desplegar una variante del malware Mirai (skid.x86). Las variantes de Mirai suelen estar dise�adas para a�adir dispositivos infectados a una botnet que puede utilizarse en ataques de denegaci�n de servicio distribuido (DDoS) a gran escala.

Estos ataques comenzaron el lunes, seg�n observaron la empresa de ciberseguridad GreyNoise y la plataforma de monitorizaci�n de amenazas ShadowServer. Dos semanas antes, el investigador de seguridad Netsecfish revel� la vulnerabilidad despu�s de que D-Link les informara de que estos dispositivos al final de su vida �til no ser�an parcheados.

"La vulnerabilidad descrita afecta a m�ltiples dispositivos NAS de D-Link, incluyendo los modelos DNS-340L, DNS-320L, DNS-327L y DNS-325, entre otros", explica Netsecfish.

"La explotaci�n exitosa de esta vulnerabilidad podr�a permitir a un atacante ejecutar comandos arbitrarios en el sistema, lo que potencialmente conducir�a a un acceso no autorizado a informaci�n sensible, la modificaci�n de las configuraciones del sistema, o condiciones de denegaci�n de servicio."

Dispositivos NAS D-Link vulnerables expuestos en l�nea (Netsecfish)

Cuando se le pregunt� si se lanzar�an actualizaciones de seguridad para parchear esta vulnerabilidad de d�a cero, D-Link tambi�n dijo que ya no daban soporte a estos dispositivos NAS al final de su vida �til (EOL).

"Todos los dispositivos de almacenamiento en red de D-Link han llegado al final de su vida �til y de su vida de servicio durante muchos a�os [y] los recursos asociados a estos productos han cesado su desarrollo y ya no reciben soporte", dijo un portavoz de D-Link.

"D-Link recomienda retirar estos productos y sustituirlos por otros que reciban actualizaciones de firmware".

El portavoz a�adi� que estos dispositivos NAS no disponen de funciones de actualizaci�n autom�tica en l�nea ni de env�o de alertas, por lo que resulta imposible notificar a los propietarios de estos ataques en curso.

Tras la revelaci�n, D-Link public� el jueves un aviso de seguridad para notificar a los propietarios la vulnerabilidad de seguridad y aconsejarles que retiraran o sustituyeran los dispositivos afectados lo antes posible.

Tambi�n cre� una p�gina de soporte para los dispositivos heredados, advirtiendo a los propietarios que aplicaran las �ltimas actualizaciones de seguridad y firmware disponibles a trav�s del sitio web de soporte heredado, aunque eso no proteger�a sus dispositivos de los atacantes.

"Si los consumidores de EE.UU. siguen utilizando estos dispositivos en contra de la recomendaci�n de D-Link, por favor aseg�rese de que el dispositivo tiene el �ltimo firmware conocido", advirti� D-Link.

Lo que D-Link no dijo es que los dispositivos NAS no deber�an exponerse en l�nea, ya que suelen ser blanco de ataques de ransomware para robar o cifrar datos.

En los �ltimos meses, otros dispositivos D-Link (algunos de ellos tambi�n al final de su vida �til) han sido objetivo de varias redes de bots DDoS basadas en Mirai (una de ellas rastreada como IZ1H9). Sus propietarios trabajan continuamente para ampliar sus capacidades, a�adiendo nuevos exploits y objetivos a atacar.

Fuente: bleepingcomputer