Os atores de ameaças estão verificando e explorando ativamente um par de falhas de segurança que afetam até 92.000 dispositivos de armazenamento conectado à rede (NAS) D-Hyperlink expostos à Web.
Rastreado como CVE-2024-3272 (pontuação CVSS: 9,8) e CVE-2024-3273 (pontuação CVSS: 7,3), as vulnerabilidades afetam os produtos legados da D-Hyperlink que atingiram o standing de fim de vida (EoL). A D-Hyperlink, em comunicado, disse que não planeja enviar um patch e, em vez disso, pede aos clientes que os substituam.
“A vulnerabilidade está no uri nas_sharing.cgi, que é vulnerável devido a dois problemas principais: um backdoor facilitado por credenciais codificadas e uma vulnerabilidade de injeção de comando por meio do parâmetro do sistema”, disse o pesquisador de segurança que atende pelo nome netsecfish em closing de março de 2024.
A exploração bem-sucedida das falhas pode levar à execução arbitrária de comandos nos dispositivos NAS D-Hyperlink afetados, concedendo aos agentes da ameaça a capacidade de acessar informações confidenciais, alterar configurações do sistema ou até mesmo desencadear uma condição de negação de serviço (DoS).
Os problemas afetam os seguintes modelos –
- DNS-320L
- DNS-325
- DNS-327L e
- DNS-340L
A empresa de inteligência de ameaças GreyNoise disse que observou invasores tentando transformar as falhas em armas para entregar o malware do botnet Mirai, tornando possível comandar remotamente os dispositivos D-Hyperlink.
Na ausência de uma solução, a Shadowserver Basis é recomendando que os usuários coloquem esses dispositivos off-line ou tenham acesso remoto ao dispositivo protegido por firewall para mitigar possíveis ameaças.
As descobertas ilustram mais uma vez que as botnets Mirai estão continuamente a adaptar-se e a incorporar novas vulnerabilidades no seu repertório, com os agentes da ameaça a desenvolver rapidamente novas variantes que são concebidas para abusar destas questões para violar o maior número possível de dispositivos.
Com os dispositivos de rede se tornando alvos comuns para invasores motivados financeiramente e ligados ao Estado-nação, o desenvolvimento ocorre no momento em que a Unidade 42 da Palo Alto Networks revela que os atores de ameaças estão cada vez mais migrando para ataques de varredura iniciados por malware para sinalizar vulnerabilidades nas redes alvo.
“Alguns ataques de varredura se originam de redes benignas, provavelmente impulsionadas por malware em máquinas infectadas”, disse a empresa.
“Ao lançar ataques de varredura a partir de hosts comprometidos, os invasores podem realizar o seguinte: cobrir seus rastros, contornar a delimitação geográfica, expandir botnets e (e) aproveitar os recursos desses dispositivos comprometidos para gerar um quantity maior de solicitações de varredura em comparação com o que poderiam conseguir usando apenas seus próprios dispositivos.”
