Les utilisateurs de NAS D-Link sont actuellement confrontés à une nouvelle menace majeure. Un chercheur en sécurité a découvert 2 failles sur plusieurs modèles de NAS : porte dérobée avec compte en dur et injection via une requête HTTP GET. 92 000 NAS seraient vulnérables à ces failles et toujours accessibles depuis Internet. D-Link recommande d’acheter un nouveau NAS…
NAS D-Link = danger !
Le chercheur, nommé Netsecfish, a détecté un problème dans le script ‘/cgi-bin/nas_sharing.cgi’, affectant la composante gestionnaire de requêtes HTTP GET. Les deux principales failles à l’origine du problème, répertoriées sous CVE-2024-3273, sont une porte dérobée avec un compte codé en dur (nom d’utilisateur : « messagebus » et mot de passe vide) et un problème d’injection de commandes via le paramètre « system ».
Lorsqu’elles sont combinése, ces failles permettent à un attaquant d’exécuter des commandes à distance sur le NAS… offrant un accès aux données, avec possibilité de faire des modifications de configuration du NAS ou encore d’exécuter des attaques par déni de service (DDOS) à votre insu.
Les modèles de dispositifs touchés par CVE-2024-3273 sont :
- DNS-320L avec les versions 1.11, 1.03.0904.2013, et 1.01.0702.2013
- DNS-325 avec la version 1.01
- DNS-327L avec les versions 1.09 et 1.00.0409.2013
- DNS-340L avec la version 1.08
Selon Netsecfish, plus de 92 000 NAS D-Link vulnérables sont encore exposés sur Internet et donc susceptibles d’être attaqués via ces failles.
La situation est très inquiétante, car aucun correctif n’est disponible pour remédier à ces vulnérabilités. Après avoir contacté D-Link, le fabricant a déclaré que ces NAS étaient en fin de vie et ne bénéficiaient plus de support. « D-Link recommande de retirer ces produits et de les remplacer par des produits qui reçoivent des mises à jour du micrologiciel ». Alors on va se le dire, ce n’est pas la première que D-Link est pointé du doigt pour ses failles de sécurité et des comptes en dur dans leurs systèmes. À votre place, je regarderais plutôt du côté de fabricant sérieux comme Synology, QNAP ou Asustor.
La société a mis en place une page de support dédiée pour ces produits. Si vous possédez un des produits concernés, D-Link vous recommande d’appliquer les dernières mises à jour de sécurité. Cependant, même en appliquant les dernières mises à jour disponibles, les failles décrites ici ne seront pas corrigées.
Il est important de rappeler qu’un NAS, ou tout autre produit, exposé sur Internet ne doit l’être uniquement lorsque c’est nécessaire. Si votre appareil n’est plus mis à jour, il faut absolument trouver une solution alternative :
- ne plus l’exposer à Internet,
- utiliser un VPN permettant d’accéder à votre réseau privé,
- changer d’appareil.
En conclusion, les propriétaires de dispositifs NAS D-Link concernés par cette vulnérabilité sont vivement encouragés à prendre des mesures immédiates pour retirer ou remplacer ces dispositifs obsolètes. La sécurité des données et des systèmes informatiques doit être une priorité absolue, et toute négligence dans ce domaine peut entraîner des conséquences graves et coûteuses.