D-Link не собирается устранять уязвимость в прошивках своих сетевых хранилищ

Фото: сгенерировано нейросетью Kandinsky
Компания D-Link не собирается устранять уязвимость в прошивках своих сетевых хранилищ, объясняя это тем, что срок их поддержки истёк.

Владельцы этих NAS теперь должны решить, что делать: либо приобрести новое хранилище, либо ежедневно опасаться взлома. Проблема затронула более 60 тысяч устройств D-Link по всему миру.

Тайваньская компания D-Link, известная в России и мире своими сетевыми устройствами, поставила под угрозу десятки тысяч людей по всему миру. Как сообщает TechSpot, из-за действий компании они оказались в опасности стать жертвами хакерской атаки. D-Link не устранила критическую уязвимость в своих сетевых хранилищах.

Речь идёт об уязвимости CVE-2024-10914. Она затрагивает хранилища DNS-320, DNS-320LW, DNS-325 и DNS-340L с прошивкой до версии 20241028. Эта уязвимость находится в команде cgi_user_add и может быть вызвана специально созданным HTTP-запросом GET. Команда не может должным образом очистить параметр name, что открывает киберпреступнику широкие возможности для действий.

D-Link объяснила свой отказ защитить пользователей, выбравших её продукцию, тем, что все перечисленные хранилища уже не поддерживаются, и поэтому не получают обновления, включая патчи безопасности.

В этой ситуации есть два варианта: приобрести более современное сетевое хранилище, которое продолжает получать обновления, или же продолжать использовать старое, но с течением времени в нём могут возникнуть и другие проблемы, включая критические уязвимости.

Угроза безопасности

Уязвимость CVE-2024-10914 представляет собой серьёзную, но не критическую угрозу. В первую очередь под ударом оказываются корпоративные пользователи, поскольку именно они формировали спрос на DNS-320, DNS-320LW, DNS-325 и DNS-340L.

К моменту публикации материала было обнаружено более 60 тысяч сетевых хранилищ D-Link, подверженных этой уязвимости. Из них примерно 41 тысяча теоретически доступна из интернета. Производство и продажа этих устройств были прекращены.

Бесполезные рекомендации D-Link

Вместо того чтобы разработать полноценное обновление, которое бы удовлетворило потребности пользователей, D-Link предложила владельцам своих устройств несколько практических советов.

В частности, компания рекомендует обновить NAS до последней доступной версии прошивки и использовать уникальный пароль для доступа к устройству. Также D-Link советует включить шифрование Wi-Fi.

Эти меры действительно снижают риск успешной хакерской атаки, но не решают проблему уязвимости CVE-2024-10914, как пишет TechSpot. Таким образом, D-Link ограничилась базовыми рекомендациями, не предложив полноценного решения проблемы.

Регулярное игнорирование уязвимостей

В настоящее время это не единственный случай, когда D-Link игнорировала устранение опасной уязвимости в своих продуктах, срок поддержки которых истёк. Только за 2024 год таких случаев было несколько.

Один из них касался целого ряда сетевых хранилищ компании, в которых была обнаружена не просто уязвимость — в них нашли закодированный бэкдор, который открывал доступ хакерам (уязвимость CVE-2024-3273). D-Link отказалась предпринимать какие-либо действия для устранения этой проблемы.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Загрузка ...
Жуковский Life

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: