D-Link ha pedido a los usuarios retiren varios modelos de NAS, para evitar que se vean comprometidos a través de un exploit disponible públicamente que explota una puerta trasera. Los modelos afectados son los DNS-320L, DNS-325, DNS-327L y DNS-340L.
El fallo, identificado como CVE-2024-3273 impacta en más de 90.000 dispositivos conectados que seguirán siendo vulnerables ya que no recibirán actualizaciones ni soporte del proveedor.
Un investigador que se identifica como «netsecfish» ha sido quien ha descubierto el fallo, cuyos detalles están publicados en GitHub, e informado a D-Link, que publicó su propio aviso. El investigador también lanzó un exploit para el fallo.
La vulnerabilidad aprovecha dos problemas: credenciales codificadas que permiten el acceso remoto a la interfaz de administración web del dispositivo y un error de inyección de comandos. Encadenados, estos fallos permiten que un atacante no autenticado ejecute comandos arbitrarios en un dispositivo, permitiéndole obtener acceso a información, cambiar la configuración del sistema o causar una condición DoS, explica netsecfish.
