D-Link adviseert klanten om NAS-apparaten met een end-of-life-status te vervangen. De apparaten bevatten twee kwetsbaarheden waardoor een command injection en command backdooraanval door aanvallers mogelijk wordt. Het bedrijf brengt geen beveiligingsupdates meer uit.
D-Link schrijft in een blogpost dat het eind maart door securitybedrijf VulDB is ingelicht over de kwetsbaarheden CVE-2024-3272 en CVE-2024-3273. De eerste kwetsbaarheid wordt als zeer kritisch beschouwd, terwijl CVE-2024-3273 een kritieke kwetsbaarheid is. Kwaadwilligen kunnen door de kwetsbaarheden toegang krijgen tot gevoelige data op de NAS-apparaten, maar kunnen ook de systeemconfiguratie van het apparaat aanpassen of een denial of service uitlokken.
Er zouden volgens GitHub-gebruiker NetworkSecurityFish ongeveer 92.000 NAS-apparaten van D-Link getroffen zijn. D-Link schrijft dat het om legacy-apparaten gaat die inmiddels een end-of-life- of een end-of-service-status hebben bereikt. Het bedrijf heeft een lijst met alle getroffen NAS-apparaten gedeeld en daarin staan twintig modellen opgelijst waaronder de DNS-340L-, DNS-320L-, DNS-327L- en DNS-325-modellen.
D-Link schrijft dat als een product de end-of-life- of end-of-service-status heeft bereikt, er geen verdere ondersteuning of software-updates moeten verwacht worden. Het bedrijf raadt dan ook aan om de NAS-apparaten niet meer te gebruiken en te vervangen.
/i/2006627084.png?f=imagenormal)