D-Link risponde alle affermazioni sulle problematiche di sicurezza presenti nei suoi dispositivi Network Associated Storage (NAS). Esploriamo il caso in dettaglio.
In una delle notti di Aprile 2024, D-Link ha fornito una precisazione critica relativa a un articolo precedentemente pubblicato, intitolato “92.000 dispositivi NAS D-Link presentano una backdoor”. Leggendo l’articolo, si apprende che circa 92.000 dispositivi NAS D-Link erano suscettibili di una vulnerabilità, identificata come CVE-2024-3273.
Questa vulnerabilità, essenzialmente, si presentava come una backdoor in un account hardcoded, sotto il nome utente “messagebus” con password vuota, associato a un problema di command injection tramite il parametro “system”.
Nel marzo del 2024, un team di ricerca di sicurezza terzo, chiamato VulDB Coordination, ha portato alla luce una vulnerabilità che coinvolgeva i modelli di Network Associated Storage (NAS) DNS-340L, DNS-320L, DNS-327L e DNS-325 di D-Link. Questa vulnerabilità comportava un attacco di Command Injection e Backdoor Account per l’interfaccia di gestione web dei dispositivi; in pratica, permetteva a un utente con cattive intenzioni di sfruttare i dispositivi.
Da notare che questo exploit riguardava prodotti D-Link legacy e tutte le revisioni hardware che avevano già raggiunto i livelli di End of Life (“EOL”) o End of Service Life (“EOS”). I prodotti che raggiungono tale status non ricevono più aggiornamenti software e patch di sicurezza e non sono più supportati da D-Link. Di conseguenza, il produttore consiglia di ritirare e sostituire i dispositivi D-Link che hanno raggiunto l’EOL/EOS.
In risposta alla situazione, D-Link ha precisato che se i NAS non sono direttamente collegati a Internet o se è presente un firewall di sicurezza, il rischio di essere esposti a tale vulnerabilità è significativamente ridotto.
Le quantità di modelli coinvolti dalla vulnerabilità e venduti sul mercato italiano nel periodo 2011-2018, sono state inferiori alle 1.800 unità. Risulta evidente che D-Link può decidere che un prodotto ha raggiunto il livello EOS/EOL perché la tecnologia sta evolvendo, le richieste del mercato stanno cambiando, sono emerse nuove innovazioni, si sono sviluppate efficienze del prodotto basate su nuove tecnologie, o semplicemente perché il prodotto è diventato obsoleto nel tempo e deve essere sostituito da una tecnologia funzionalmente superiore.
Infine, D-Link raccomanda vivamente di ritirare il prodotto e avverte che il suo ulteriore utilizzo può costituire un rischio per i dispositivi a esso collegati. Se, nonostante le raccomandazioni di D-Link, si decide di continuare a utilizzare i dispositivi, è fondamentale assicurarsi di avere l’ultimo firmware disponibile e di aggiornare regolarmente la password unica del dispositivo per accedere alla sua configurazione web, mantenendo sempre attiva la crittografia WIFI con una password unica.