398/67 (IT) ประจำวันจันทร์ที่ 11 พฤศจิกายน 2567
D-Link เตือนว่ามีอุปกรณ์เก็บข้อมูลในเครือข่ายหรือ Network-Attached Storage (NAS) กว่า 60,000 เครื่องที่หมดอายุการสนับสนุน (EoL) และตกเป็นเป้าหมายจากช่องโหว่ที่สามารถทำให้ผู้ไม่หวังดีสามารถสั่งการอุปกรณ์ได้ ที่หมายเลขช่องโหว่ CVE-2024-10914 โดยได้รับการประเมินความรุนแรงที่ระดับ 9.2 ซึ่งจัดเป็นระดับวิกฤต ช่องโหว่นี้เกิดจากการตรวจสอบพารามิเตอร์ “name” ในคำสั่ง ‘cgi_user_add’ ที่ไม่เพียงพอ ทำให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถส่งคำสั่งต่าง ๆ ผ่าน HTTP GET Request ได้ โดยช่องโหว่นี้ส่งผลกระทบกับอุปกรณ์ NAS ของ D-Link หลายรุ่นที่ได้รับความนิยมในธุรกิจขนาดเล็ก ได้แก่
– DNS-320 Version 1.00
– DNS-320LW Version 1.01.0914.2012
– DNS-325 Version 1.01, Version 1.02
– DNS-340L Version 1.08
นักวิจัยจาก Netsecfish ได้เผยแพร่รายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่นี้ โดยชี้แจงว่าวิธีการโจมตีจะใช้การส่ง HTTP GET Request ไปยังอุปกรณ์ NAS เป้าหมายผ่านคำสั่งที่ฝังคำสั่งเชลล์อันตราย เช่นคำสั่งที่ใช้ได้คือ: curl http://[Target-IP]/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27 คำสั่ง curl นี้จะสร้าง URL เพื่อใช้งานคำสั่ง cgi_user_add พร้อมพารามิเตอร์ name ที่ประกอบด้วยคำสั่งเชลล์ฝังในรูปแบบอันตราย จากการค้นหาโดย Netsecfish บนแพลตฟอร์ม FOFA พบว่า มีอุปกรณ์ D-Link ที่มีช่องโหว่กว่า 61,147 เครื่องที่เชื่อมต่อกับ IP ที่ไม่ซ้ำกันถึง 41,097 ที่อยู่ ล่าสุด D-Link ได้ออกประกาศยืนยันว่าจะไม่มีการอัปเดตแก้ไขสำหรับ CVE-2024-10914 เนื่องจากอุปกรณ์เหล่านี้ได้หมดอายุการสนับสนุนแล้ว ทั้งนี้ D-Link แนะนำให้ผู้ใช้ยุติการใช้งานผลิตภัณฑ์ที่ได้รับผลกระทบ หรือหากยังไม่สามารถทำได้ในขณะนี้ ควรแยกอุปกรณ์ออกจากการเชื่อมต่อกับอินเทอร์เน็ตสาธารณะและจำกัดการเข้าถึง
นอกจากนี้ นักวิจัยยังพบช่องโหว่ CVE-2024-3273 ซึ่งเป็นการฉีดคำสั่งโดยไม่ได้รับอนุญาตและมี backdoor ที่ฝังไว้ โดยช่องโหว่นี้กระทบกับรุ่น D-Link NAS ส่วนใหญ่เช่นเดียวกับ CVE-2024-10914 ในช่วงเวลานั้น FOFA ตรวจพบอุปกรณ์ที่ได้รับผลกระทบถึง 92,589 เครื่อง D-Link ได้ยืนยันว่าบริษัทหยุดผลิตอุปกรณ์ NAS แล้ว และอุปกรณ์ที่ได้รับผลกระทบนี้ได้หมดอายุการสนับสนุนจึงจะไม่มีการอัปเดตความปลอดภัยออกมาอีก