Cảnh báo lỗ hổng CVE-2024-10914 (CVSS 9.2) cho phép chèn lệnh đe dọa hơn 61,000 Thiết bị NAS D-Link

Thứ năm - 14/11/2024 16:15 55 0

Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC), Cục An toàn thông tin cảnh báo về lỗ hổng CVE-2024-10914 (CVSS 9.2) cho phép chèn lệnh đe dọa hơn 61,000 Thiết bị NAS D-Link nhằm cung cấp thêm thông tin cần thiết để quản trị viên cũng như người dùng có thể thực hiện các biện pháp bảo mật một cách kịp thời và hiệu quả.

Một lỗ hổng nghiêm trọng mang mã CVE-2024-10914 đã được xác định trong các thiết bị NAS của D-Link, đe dọa hơn 61,000 hệ thống trên toàn cầu. Lỗ hổng này là một lỗi chèn lệnh (Command Injection) trong script account_mgr.cgi, cho phép kẻ tấn công từ xa thực thi các lệnh tùy ý thông qua các yêu cầu HTTP GET được thiết kế đặc biệt. Lỗi này ảnh hưởng đến nhiều model NAS của D-Link, bao gồm DNS-320, DNS-320LW, DNS-325 và DNS-340L, với điểm số CVSSv4 đạt 9.2, đánh dấu mức độ nghiêm trọng cao.

Chi tiết lỗ hổng

Lỗ hổng ảnh hưởng cụ thể đến tham số name trong lệnh cgi_user_add của script account_mgr.cgi. Do thiếu kiểm tra đầu vào chặt chẽ, các lệnh độc hại được chèn vào tham số name có thể dẫn đến việc thực thi lệnh trái phép. Theo NETSECFISH, “lỗ hổng này cho phép kẻ tấn công không xác thực chèn các lệnh shell tùy ý thông qua các yêu cầu HTTP GET được thiết kế đặc biệt,” khiến cho kẻ tấn công không cần phải xác thực mà vẫn có thể khai thác.

Những model này thường được sử dụng cho lưu trữ dữ liệu cá nhân và doanh nghiệp nhỏ, đồng nghĩa với việc thông tin nhạy cảm có thể gặp nguy hiểm nếu bị khai thác.

Cách khai thác

Kẻ tấn công có thể khai thác lỗ hổng CVE-2024-10914 bằng cách gửi một yêu cầu HTTP GET được thiết kế đặc biệt đến địa chỉ IP của thiết bị NAS. Ví dụ, lệnh sau đây sẽ khai thác lỗ hổng thông qua lệnh curl:

Lệnh này chèn một lệnh shell vào tham số name, kích hoạt việc thực thi ngoài ý muốn trên thiết bị mục tiêu.

Nguyên nhân lỗ hổng

Lỗ hổng chèn lệnh được phân loại là CWE-77: Command Injection, xuất phát từ việc script account_mgr.cgi không kiểm tra đầu vào kỹ càng, cho phép thực thi các lệnh trái phép thông qua tham số name.

Các thiết bị bị ảnh hưởng

DNS-320 – Phiên bản 1.00
DNS-320LW – Phiên bản 1.01.0914.2012
DNS-325 – Các phiên bản 1.01 và 1.02
DNS-340L – Phiên bản 1.08

Khuyến nghị

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, Trung tâm VNCERT/CC khuyến nghị người dùng và quản trị viên nên:

Cập nhật Bản vá và Firmware: Người dùng cần tải và cài đặt các bản cập nhật firmware do D-Link cung cấp khi có sẵn.
Hạn chế Truy cập Mạng: Tạm thời, hạn chế quyền truy cập vào giao diện quản lý NAS chỉ từ các địa chỉ IP tin cậy.
Theo dõi Cập nhật Firmware: Người dùng thiết bị bị ảnh hưởng cần cảnh giác và theo dõi các bản vá bảo mật mới từ D-Link.

Tác giả: VNCERT/CC

Nguồn tin: vncert.vn

Tags: an toàn, không gian mạng, lỗ hổng, thông tin