Deux vulnérabilités critiques impactant des serveurs NAS de la marque D-Link, identifiées par les références CVE-2024-3272 & CVE-2024-3273, ont été détectées suite à de nombreuses tentatives d’exploitation. Elles obtiennent respectivement un score CVSS v3.1 de 9.8 et 7.3. L’équipe Stormshield Customer Security Lab détaille les protections fournies par Stormshield.
Il convient de porter une attention particulière à ces vulnérabilités car de nombreuses preuves de concept sont disponibles publiquement, et des exploitations de ces vulnérabilités sont actuellement en cours par des acteurs cyber-malveillants. De plus, ces vulnérabilités ne seront pas corrigées par la marque car les modèles de serveurs NAS impactés ne sont plus supportés ni mis à jour. Voici la liste est ci-dessous des modèles impactés :
- DNS-320L (fin de support le 31 mai 2020),
- DNS-325 (fin de support le 1er septembre 2017),
- DNS-327L (fin de support le 31 mai 2020),
- DNS-340L (fin de support le 31 juillet 2019).
Les détails techniques des vulnérabilités D-Link
La CVE-2024-3272 repose sur la présence d’un compte technique présent par défaut sur l’ensemble des serveurs NAS impactés et ne disposant d’aucun mot de passe. La CVE-2024-3273, elle, permet l’envoi de commandes à distance en contactant une URL spécifique disponible sur le serveur NAS. Cet envoi de commande requiert une authentification.
La dangerosité de l’attaque vient de l’exploitation conjointe de ces deux vulnérabilités, qui permet alors d’envoyer des commandes à distance en contournant l’authentification présente sur le serveurs NAS. Plus de 90 000 serveurs NAS sont vulnérables à cette attaque.
La vulnérabilité CVE-2024-3272 repose sur l’usage d’un compte utilisateur présent par défaut sur les modèles D-Link impactés. La particularité de ce compte ‘messagebus’
est de n’avoir besoin d’aucun mot de passe, ce qui permet de contourner l'authentification sur le serveur NAS. La vulnérabilité CVE-2024-3273 quant à elle permet l’envoi à distance de commandes sur l’endpoint ‘/cgi-bin/nas_sharing.cgi’
. En combinant les deux CVE, il est donc possible d’envoyer des commandes à distance sans authentification préalable, rendant l’attaque très dangereuse.
La modélisation de l'attaque avec MITRE ATT&CK
MITRE ATT&CK
- T1190 (Exploit Public-Facing Application)
- T1203 (Exploitation for Client Execution)
IoC
Une liste d’IPs scannant ou réalisant l’attaque est disponible ici : viz.greynoise.io/tags/d-link-nas-cve-2024-3273-rce-attempt
Les moyens de protections Stormshield face aux vulnérabilités D-Link
Protection avec Stormshield Network Security
Les firewalls Stormshield Network Security permet de détecter, voire bloquer une tentative d’exploitation de ces vulnérabilités. Ils détectent et bloquent par défaut l’exploitation des CVE-2024-3272 & CVE-2024-3273 via leur analyse protocolaire :
- http:url:decoded.426 : Exploitation d'une vulnérabilité de type injection de commande sur D-Link NAS (CVE-2024-3273)
Indice de confiance de la protection proposée par Stormshield |
Indice de confiance de l’absence de faux positif |
Recommandations face aux vulnérabilités D-Link
La recommandation du constructeur D-Link est de décommissionner les serveurs NAS vulnérables, puisque ceux-ci ne sont plus supportés. Le bulletin d’alerte de la marque est disponible ici : supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383.