Domů
> Bezpečnost

Vysoké riziko pro starší typy síťových zařízení: výrobce ignoroval zásadní zranitelnost – netýká se to i vašeho?

Jiří Palyza 15.11.2024
info ikonka
Zdroj: Midjourney (vygenerováno pomocí umělé inteligence)

Aktualizováno: Známý výrobce směrovačů neuzavřel bezpečnostní zranitelnost u starších typů NAS úložišť. Data jejich uživatelů jsou nyní v nebezpečí. Doporučení zní: odpojte to od internetu. Mezitím se k celé věci vyjádřilo i české zastoupení společnosti D-Link, přinášíme proto aktualizaci příspěvku.

Kapitoly článku

D-Link odmítá řešit kritickou zranitelnost NAS úložišť, uživatelům doporučuje jejich vyřazení

Společnost D-Link potvrdila, že se už zranitelností s označením CVE-2024-10914 nehodlá dále zabývat, a to i přesto, že je označena jako kritická se skóre 9,2. Zároveň uživatelům dotčených produktů doporučila, aby zranitelná zařízení vyřadili a dále je nepoužívali.

Pokud to není z jakýchkoliv důvodů možné, měli by je uživatelé alespoň izolovat od veřejného internetu nebo jim nastavit přísnější podmínky přístupu.

Popsaná bezpečnostní díra útočníkům umožňuje spustit libovolný příkaz, a to kvůli zmanipulovaným požadavkům HTTP Get. Na bezpečnostní platformě FOFA bylo už dříve nalezeno více než 41 000 unikátních IP adres dotčených zařízení, kterých se to týká. Společnost D-Link sdělila, že pro tato zařízení nebudou vydány žádné bezpečnostní aktualizace.

Mohlo by vás zajímat

Zranitelnost síťových úložišť NAS od D-Linku: Starší modely bez bezpečnostních aktualizací

Chyba se týká několika modelů síťových úložišť NAS, které se běžně používaly v malých firmách, ale i domácnostech. Jde především o následující modely:

  • DNS-320 Version 1.00
  • DNS-320LW Version 1.01.0914.2012
  • DNS-325 Version 1.01,  Version 1.02
  • DNS-340L Version 1.08

Mohlo by vás zajímat

V technickém popisu o podrobnostech zneužití se uvádí, že útočníci mohou zařízení zneužít odesláním speciálně vytvořeného požadavku HTTP Get, který má zmanipulovaný škodlivý vstup v parametru "name".

D-Link k celé věci také dodal, že již nadále síťová NAS úložiště nevyrábí, stávající dotčené produkty dosáhly konce svého životního cyklu a nebudou nadále dostávat žádné bezpečnostní aktualizace.

Své vyjádření přidalo i české zastoupení společnosti: "Společnost D-Link si je vědoma zranitelnosti označené jako CVE-2024-10914, která se týká starších NAS zařízení. Jedná se o zařízení starší víc než 10 let (některá i 14 let), která již přesáhla oficiální životnost (end-of-life, EOL), a proto jim skončila aktivní softwarová podpora. Starší zařízení obecně nemusejí splňovat současné hardwarové a bezpečnostní standardy, proto doporučujeme přechod na novější modely s pravidelnými aktualizacemi. Pokud to není možné, doporučujeme následovat rady uvedené v článku. Skutečnost, že některé naše produkty i po tolika letech fungují, vnímáme jako důkaz jejich kvality, ale připomínáme, že pravidelná obměna síťových zařízení je důležitá kvůli zajištění maximální bezpečnosti."

Více podrobností s detailní tabulkou s uvedenými životnostmi produktů najdete na webové stránce technické podpory D-Linku.

Zdroj: Bleeping Computer, NVD

Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit

Všechny nejnovější zprávy

doporučujeme