A D-Link anunciou que não lançará uma correcção para uma falha de segurança crítica que deixa mais de 60.000 NAS antigos vulneráveis a ataques.
A falha, identificada como CVE-2024-10914, afecta vários dispositivos NAS que atingiram o fim de vida útil (EoL), o que significa que a D-Link já não fornece actualizações para eles. Esta vulnerabilidade permite que atacantes executem comandos ao enviar pedidos HTTP GET, adicionando novos utilizadores "falsos" com acesso aos NAS, representando um sério risco para os utilizadores.
Com uma pontuação de gravidade elevada de 9.2, a falha foi revelada pelo investigador de segurança Netsecfish, que explicou como pode ser explorada. Esta falha afecta vários modelos da D-Link, incluindo o DNS-320, DNS-320LW, DNS-325 e DNS-340L, frequentemente utilizados em pequenos negócios. Uma pesquisa do investigador revelou mais de 61 mil NAS vulneráveis expostos na internet.
Tratando-se de equipamentos em fim de vida, a D-Link confirmou que não irá disponibilizar correcções para esta falha, limitando-se a recomendar aos utilizadores que retirem estes produtos do serviço. Se isso não for possível, devem pelo menos isolar os dispositivos da internet pública e aplicar controlos de acesso mais restritos - recomendações que, de resto, se aplicam a todos os NAS, antigos ou novos. O mesmo investigador já tinha descoberto anteriormente uma falha semelhante, CVE-2024-3273, afectando mais de 92 mil dispositivos NAS D-Link, no início do ano.
Por um lado, é compreensível a posição da D-Link, que se começasse a criar "excepções" para resolver problemas em dispositivos em fim-de-vida, entraria num ciclo infinito do qual nunca poderia escapar, já que é inevitável que continuem a ser descobertas falhas de segurança. Por outro lado, coisas como estas mostram como é preciso passar a ter informação bem clara sobre os prazos oficiais de suporte dos produtos que se compram, para se estar informado quanto à possibilidade de se ficar com um produto que, apesar de funcional, passará a ter problemas graves de segurança que nunca irão ser corrigidos.
Subscrever:
Enviar feedback (Atom)
Como é útil usar usar este tipo de equipamento que usar software open source. Está sempre actualizado.
ResponderEliminarAcho que neste caso em concreto, o projeto se chama ALT-F, não é?
Eliminarhttps://sourceforge.net/projects/alt-f/