A falha, identificada como CVE-2024-10914, afecta vários dispositivos NAS que atingiram o fim de vida útil (EoL), o que significa que a D-Link já não fornece actualizações para eles. Esta vulnerabilidade permite que atacantes executem comandos ao enviar pedidos HTTP GET, adicionando novos utilizadores "falsos" com acesso aos NAS, representando um sério risco para os utilizadores.
Com uma pontuação de gravidade elevada de 9.2, a falha foi revelada pelo investigador de segurança Netsecfish, que explicou como pode ser explorada. Esta falha afecta vários modelos da D-Link, incluindo o DNS-320, DNS-320LW, DNS-325 e DNS-340L, frequentemente utilizados em pequenos negócios. Uma pesquisa do investigador revelou mais de 61 mil NAS vulneráveis expostos na internet.
Por um lado, é compreensível a posição da D-Link, que se começasse a criar "excepções" para resolver problemas em dispositivos em fim-de-vida, entraria num ciclo infinito do qual nunca poderia escapar, já que é inevitável que continuem a ser descobertas falhas de segurança. Por outro lado, coisas como estas mostram como é preciso passar a ter informação bem clara sobre os prazos oficiais de suporte dos produtos que se compram, para se estar informado quanto à possibilidade de se ficar com um produto que, apesar de funcional, passará a ter problemas graves de segurança que nunca irão ser corrigidos.
Como é útil usar usar este tipo de equipamento que usar software open source. Está sempre actualizado.
ResponderEliminarAcho que neste caso em concreto, o projeto se chama ALT-F, não é?
Eliminarhttps://sourceforge.net/projects/alt-f/