Более 92 000 сетевых хранилищ от D-Link содержат встроенный бэкдор

Более 92 000 сетевых хранилищ от D-Link содержат встроенный бэкдор

Более 92 000 сетевых хранилищ от D-Link содержат встроенный бэкдор

Исследователь в области кибербезопасности под ником Netsecfish обнаружил инъекцию команды и жестко заданный в коде бэкдор во многих NAS-устройствах от D-Link, которые на данный момент не поддерживаются производителем.

Как объясняет специалист, проблема кроется в скрипте /cgi-bin/nas_sharing.cgi и затрагивает его компонент HTTP GET Request Handler.

Выявленным изъянам присвоили идентификатор CVE-2024-3273. Соответствующий аккаунт имеет имя «messagebus» и пустой пароль, а инъекция команды допускается через параметр «system».

Если условному злоумышленнику удастся связать воедино две описанные проблемы, он сможет удаленно выполнить код на устройстве. Все, что нужно сделать для эксплуатации, — добавить зашифрованную base64 команду параметру system с помощью запроса HTTP GET.

 

«Успешная эксплуатация позволяет атакующему выполнить произвольные команды в системе, что может открыть доступ к конфиденциальной информации, модификации настроек системы и даже привести к DoS», — предупреждает исследователь.

Список затронутых CVE-2024-3273 устройств выглядит так:

  • DNS-320L версии 1.11, версии 1.03.0904.2013, версии 1.01.0702.2013
  • DNS-325 версии 1.01
  • DNS-327L версии 1.09, версии 1.00.0409.2013
  • DNS-340L версии 1.08

По словам Netsecfish, сканирование Сети показало более 92 тысяч уязвимых сетевых хранилищ D-Link.

 

Поскольку поддержка этих NAS прекращена, патчей ждать, к сожалению, не приходится. В D-Link порекомендовали заменить устаревшее оборудование.

Импортозамещение на шильдиках: китайские ноутбуки выдали за российские

Мособлсуд оставил в силе решение о взыскании почти 370 млн рублей с фигурантов дела о поставках Минобороны китайской техники под видом российской. История тянется с 2016 года. Тогда ведомство заключило контракт на 367,1 млн рублей с ООО «Антей».

По документам компания должна была поставить отечественную технику для работы со служебной информацией.

В итоге в 33 военные организации, включая академии, училища и учебные центры, отправили более 102 тыс. USB-накопителей и 3142 ноутбука.

Вот только российскими они оказались в основном на бумаге, как выяснил «КомерсантЪ».

По версии следствия, технику закупали в Китае через посредников, а уже в России доводили до нужного патриотического вида: устанавливали специальную операционную систему, прикладывали фиктивную документацию, наносили лазерную гравировку «МО» и клеили шильдики «ДЕПО Электроникс».

ФСБ установила, что поставленная продукция не соответствовала условиям контракта и была произведена в Китае. Иными словами, импортной технике устроили быстрый ребрендинг и отправили в войска как отечественную.

Организатором схемы следствие считает владельца DEPO Computers Сергея Эскина. По данным правоохранителей, собственных мощностей для исполнения контракта у него не было, а целью сделки было хищение бюджетных средств.

Сам Эскин находится за границей, объявлен в международный розыск и заочно арестован. До суда дошли десять других фигурантов, включая руководителей и сотрудников связанных компаний. Они получили от пяти до семи лет колонии, позднее троим наказание снизили до трех лет.

Теперь к уголовным срокам добавился и счет: Минобороны добилось взыскания всей суммы ущерба. Получился дорогой урок импортозамещения — китайская техника, российская гравировка и почти 370 млн рублей на выходе.

RSS: Новости на портале Anti-Malware.ru