Advertentie
D-Link gaat geen fix uitbrengen voor een ernstige kwetsbaarheid in zijn nas-apparaten die de end-of-life/service-datum hebben overschreden. Het zou om meer dan 60.000 exemplaren gaan die blootgesteld zijn. De Taiwanese fabrikant raadt op zijn website aan dat gebruikers de toestellen in kwestie buiten dienst stellen en vervangen.
De bug, die de code CVE-2024-10914 heeft gekregen, heeft een kritieke beveiligingsscore van 9,2 gekregen. Malafide partijen kunnen de kwetsbaarheid misbruiken om willekeurige shellcommando's te injecteren door speciaal ontworpen HTTP GET-verzoeken te sturen naar de NAS'en. Volgens beveiligingsonderzoeker Netsecfish zijn er 61.147 apparaten kwetsbaar.
Volgens D-Link zijn alle apparaten getroffen met de volgende software: DNS-320 versie 1.00, DNS-320LW versie 1.01.0914.2012, DNS-325 versie 1.01, versie 1.02 en DNS-340L versie 1.08. Terwijl er geen nieuwe software op komst is, zijn er wel maatregelen die gebruikers kunnen nemen om zich te beschermen. Zo is het onder meer mogelijk om de nas enkel te laten communiceren met vertrouwde ip-adressen of hem van het publieke internet te verwijderen.