Els autors estan atacant activament més de 92.000 dispositius d’emmagatzematge en xarxa (NAS) de D-Link exposats en línia i sense pedaços per una fallada crítica d’execució remota de codi (RCE) de dia zero.

Com va informar CiberNovedades el dissabte, aquesta vulnerabilitat de seguretat (CVE-2024-3273) és el resultat d’una porta del darrere facilitada per un compte codificat (nom d’usuari «messagebus» amb una contrasenya buida) i un problema d’injecció de comandaments mitjançant el paràmetre «system».

Els actors de les amenaces estan encadenant aquestes dues falles de seguretat per desplegar una variant del programari maliciós Mirai  (skid.x86). Les variants del Mirai solen estar dissenyades per afegir dispositius infectats a una xarxa de bots que es pot fer servir en atacs de denegació de servei distribuït (DDoS) a gran escala.

Aquests atacs van començar el dilluns, segons van observar l’empresa de ciberseguretat GreyNoise i la plataforma de vigilància d’amenaces ShadowServer. Dues setmanes abans, l’investigador de seguretat Netsecfish va revelar la vulnerabilitat després de ser informat per D-Link que aquests dispositius al final de la seva vida útil no serien sotmesos a pedaços.

«La vulnerabilitat descrita afecta diversos dispositius NAS de D-Link, inclosos els models DNS-340L, DNS-320L, DNS-327L i DNS-325, entre d’altres.», explica Netsecfish.

«L’explotació amb èxit d’aquesta vulnerabilitat podria permetre a un atacant executar comandaments arbitraris al sistema, cosa que podria conduir a un accés no autoritzat a informació delicada, modificació de les configuracions del sistema o condicions de denegació de servei.»

Quan se li va preguntar si es llançarien actualitzacions de seguretat per corregir aquesta vulnerabilitat de dia zero, D-Link també va dir a CiberNovedades que ja no dona suport a aquests dispositius NAS al final de la seva vida útil (EOL).

«Tots els sistemes d’emmagatzematge en xarxa de D-Link han arribat al final de la seva vida útil i del seu servei durant molts anys i els recursos associats a aquests productes s’han deixat de desenvolupar i no reben suport», va dir un portaveu de D-Link a CiberNovedades.

«D-Link recomana retirar aquests productes i substituir-los per altres que rebin actualitzacions de microprogramari.

El portaveu va afegir que aquests dispositius NAS no disposen de funcions d’actualització automàtica en línia ni d’alerta, per la qual cosa és impossible notificar d’aquests atacs en curs als propietaris. 

El dijous, després de la revelació, D-Link va emetre un avís de seguretat en què informava els propietaris de la vulnerabilitat de seguretat i els aconsellava retirar del servei o substituir els dispositius afectats com més aviat millor. 

L’empresa també ha creat una pàgina web de suport per a dispositius antics, on insta als propietaris a aplicar les últimes actualitzacions de seguretat i de microprogramari disponibles al lloc web de suport per a dispositius antics, tot i que això no protegirà els seus dispositius dels atacants.

«Si els consumidors estatunidencs continuen fent servir aquests dispositius en contra de la recomanació de D-Link, si us plau, cal que s’assegurin que el dispositiu té l’últim microprogramari conegut», ha advertit D-Link.

El que D-Link no va dir és que els dispositius NAS no s’han d’exposar en línia, perquè sovint són objecte d’atacs de programari de segrest destinats a robar o xifrar dades.

En els últims mesos, altres dispositius de D-Link (alguns dels quals també estan al final de la seva vida útil) han estat l’objectiu de diverses xarxes de zombis DDos basades en Mirai (una de les quals figura com a IZ1H9). Els seus propietaris s’esforcen contínuament per ampliar-ne les capacitats, i afegeixen explotadors i objectius nous a atacar.