Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
983
)
-
▼
noviembre
(Total:
31
)
- VMware Workstation y Fusion ahora son gratis
- Aprovechan el calor de la PS5 para mantener la piz...
- Guía compra AMD Ryzen 3, Ryzen 5, Ryzen 7 y Ryzen 9
- 50 cosas que puedes pedirle a Alexa y no conocías
- Mover archivos más rápido en Windows con "Enviar a"
- La Comisión Europea pide a Apple que elimine el ge...
- Grabar pantalla en macOS
- Apple presenta Share Item Location, la función par...
- Microsoft cambiará actualizaciones de Windows para...
- D-Link no solucionará una vulnerabilidad crítica q...
- Polvo cerámico mejora hasta un 72% el rendimiento ...
- Concatenación de ficheros comprimidos para infecta...
- Filtran datos de empleados de Amazon, McDonald's, ...
- El código IUA escrito en la roseta de fibra óptica...
- Fibra luminosa, descubierta por accidente, podría ...
- Canadá prohíbe el uso de TikTok
- Google tumbó la web de este matrimonio por hacerle...
- Visualizar con Grafana los eventos del IDS/IPS Sur...
- China está usando la IA de Meta para fines militares
- Multa de 85 millones a Telefónica en Estados Unido...
- Vulnerabilidad API de la web de Kia permitió a ata...
- Google revela el primer fallo de seguridad descubi...
- La IA llega a Paint y Notepad en Windows 11
- Alemania redacta una ley para proteger a los inves...
- Microsoft ralentizó el Panel de Control de Windows...
- Guías Equivalencias de procesadores Intel y AMD [G...
- Roban 15 mil credenciales en Git y hay 10 mil repo...
- Publican información del creador del infostealer "...
- Vulnerabilidad RCE en MS SharePoint explotada acti...
- Panel de Control Grafana para el WAF de Apache-Ngi...
- Cómo visualizar los registros de Apache/Nginx en m...
- ► septiembre (Total: 50 )
-
▼
noviembre
(Total:
31
)
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
Un Actor de Amenazas que opera bajo el nombre de usuario Nam3L3ss ha explotado una vulnerabilidad crítica en MOVEit de 2023, un software ...
-
Los procesadores Intel y AMD han vivido una importante renovación en los últimos dos años. El gigante de Sunnyvale mantuvo su apuesta por ...
D-Link no solucionará una vulnerabilidad crítica que afecta a 60.000 dispositivos NAS antiguos
Más de 60.000 dispositivos de almacenamiento NAS D-Link que han llegado al final de su vida útil son vulnerables a una inyección de comandos con un exploit disponible públicamente.
La falla, identificada como CVE-2024-10914, tiene una puntuación de gravedad crítica de 9,2 y está presente en el comando 'cgi_user_add' donde el parámetro de nombre no está suficientemente sanitizado. Un atacante no autenticado podría aprovecharlo para inyectar comandos de shell arbitrarios enviando solicitudes HTTP GET especialmente diseñadas a los dispositivos.
La falla afecta a múltiples modelos de dispositivos de almacenamiento conectado a la red (NAS) D-Link que suelen utilizar las pequeñas empresas:
- DNS-320 Versión 1.00
- DNS-320LW Versión 1.01.0914.2012
- DNS-325 Versión 1.01, Versión 1.02
- DNS-340L Versión 1.08
En un artículo técnico que proporciona detalles del exploit, el
investigador de seguridad Netsecfish
dice que aprovechar la vulnerabilidad requiere enviar
"una solicitud HTTP GET diseñada al dispositivo NAS con una entrada
maliciosa en el parámetro de name
".
curl "http://[Target-IP]/cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name=%27;[INJECTED_COMMAND];%27"
"Esta solicitud curl construye una URL que activa el comando cgi_user_add con un parámetro de nombre que incluye un comando de shell inyectado", explica el investigador.
Una búsqueda que Netsecfish realizó en la plataforma FOFA arrojó 61.147 resultados en 41.097 direcciones IP únicas para dispositivos D-Link vulnerables a CVE-2024-10914.
En un boletín de seguridad, D-Link confirmó que no habrá una solución para CVE-2024-10914 y el proveedor recomienda que los usuarios eliminen los productos vulnerables. Si eso no es posible en este momento, los usuarios deberían al menos aislarlos de la Internet pública o someterlos a condiciones de acceso más estrictas.
El mismo investigador descubrió en abril de este año una inyección de comando arbitraria y una falla de puerta trasera codificada, rastreada como CVE-2024-3273, que afecta principalmente a los mismos modelos NAS D-Link que la falla más reciente. En aquel entonces, los análisis de Internet de FOFA arrojaron 92.589 resultados.
En respuesta a la situación en ese momento, un portavoz de D-Link que la empresa ya no fabrica dispositivos NAS y que los productos afectados habían alcanzado el EoL y no recibirán actualizaciones de seguridad.
Fuente: BC
Vía:
https://blog.segu-info.com.ar/2024/11/d-link-no-solucionara-una-falla-critica.html
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.