Безопасность стоит денег
Тайваньская компания D-Link, известная в России и мире своим сетевым оборудованием, поставила десятки тысяч людей по всему миру под удар. Как пишет TechSpot, из-за нее они оказались под угрозой стать жертвой хакерской атаки – D-Link решила не устранять гигантскую брешь в своих сетевых хранилищах.
Речь об уязвимости CVE-2024-10914. Она затрагивает хранилища DNS-320, DNS-320LW, DNS-325 и DNS-340L с прошивкой до версии 20241028. Эта критическая уязвимость находится в команде cgi_user_add и может быть вызвана с помощью специально созданного HTTP-запроса GET. Команда не может должным образом очистить параметр name, что открывает киберпреступнику широкий простор для деятельности.
Отказ D-Link защитить пользователей, из всего многообразия NAS выбравших именно ее продукцию, компания объяснила тем, что все перечисленные хранилища уже лишись поддержки – ее срок истек, следовательно, апдейты, в том числе патчи безопасности, им не полагаются.
Решение в данном случае простое – нужно просто купить более современное сетевое хранилище, которое пока еще получает обновления. Вариант два – продолжить пользоваться старым, в котором со временем с очень высокой степенью вероятности могут появиться и другие уязвимости, в том числе и критические.
Не иллюзорная опасность
Брешь CVE-2024-10914 имеет высокую, но не критическую степень опасности. В первую очередь под угрозой находятся корпоративные пользователи, пишет TechSpot, поскольку именно они обеспечивали основной спрос на DNS-320, DNS-320LW, DNS-325 и DNS-340L формировали именно они.
К моменту выхода материала насчитывалось более 60 тыс. сетевых хранилищ D-Link. Которые были подвержены этой уязвимости. К более 41 тыс. из них, в теории, можно получить доступ из интернета. В настоящее время их производство и продажи прекращены.
Бесполезные советы D-Link
Вместо того, чтобы подготовить полноценный патч, то есть пойти навстречу своим пользователям, а не намекать на покупку нового NAS, D-Link решила дать владельцам ее «дырявых» хранилищ несколько практических советов. В частности, она порекомендовала обновить NAS до последней доступной прошивки и использовать уникальный сгенерированный пароль для доступа к нему.
Также D-Link советует включить шифрование Wi-Fi. С одной стороны, все эти шаги действительно снижают риск успешной хакерской атаки, с другой – они почти бесполезны в вопросе эксплуатации уязвимости CVE-2024-10914, пишет TechSpot. Другими словами, D-Link ограничилась лишь базовыми рекомендациями, не решив возникшую проблему.
Гнуть свою линию
Нынешний пример – далеко не единственный, когда D-Link открыто отказывала в устранении опасной уязвимости в своих продуктах, срок поддержки которых истек. Только за 2024 г. подобных случаев было несколько.
Один из них коснулся целого ряда сетевых хранилищ компании, в которых была обнаружена не просто «дыра» – в них нашли закодированный бэкдор, открытый «черный ход» для хакеров ( уязвимость CVE-2024-3273). D-Link отказалась делать что-либо с этим.
Также в начале осени 2024 г. CNews писал об отказе D-Link исправлять критические уязвимости в своих популярных роутерах DIR-846W. В них нашли минимум четыре бреши критического уровня, и все они останутся в них навеки. Единственный способ избавиться от них – купить более современный роутер, можно даже не от D-Link.
Справедливости ради стоит отметить, что D-Link – не единственный поставщик сетевого оборудования, поступающий подобным образом. Сбежавшая из России американская Cisco тоже регулярно отказывается патчить свое устаревшее оборудование, которое со временем обрастает новыми уязвимостями.