Una preocupante situación ha surgido en el panorama de la ciberseguridad, afectando a miles de usuarios de dispositivos de almacenamiento en red (NAS) de la reconocida marca D-Link. Se han descubierto vulnerabilidades críticas que ponen en riesgo la seguridad de hasta 92,000 dispositivos, según informes recientes.
Identificadas como CVE-2024-3272 y CVE-2024-3273, estas vulnerabilidades han sido reportadas en GitHub el pasado 26 de marzo de 2024 y posteriormente confirmadas por D-Link el 4 de abril del mismo año. Un usuario conocido como “netsecfish” fue quien divulgó estas vulnerabilidades, las cuales afectan al script CGI nas_sharing.cgi, representando un peligro considerable para los dispositivos afectados.
La vulnerabilidad CVE-2024-3272 expone credenciales codificadas en duro, mientras que CVE-2024-3273 permite a atacantes remotos ejecutar comandos arbitrarios a través de inyección de comandos. Esta combinación abre las puertas a accesos no autorizados, violaciones de datos, alteraciones en la configuración del sistema y posibles ataques de denegación de servicio.
Desde el 9 de abril, se han detectado intentos continuos de explotación de estas vulnerabilidades, lo que indica la utilización de exploits públicamente disponibles por parte de actores de amenazas. Es importante destacar que la mayoría de estos ataques tienen su origen en China, subrayando el impacto geográfico del problema.
Además, el 8 de abril de 2024, investigadores de Cyble Researcher & Intelligence Labs (CRIL) observaron una publicación en un prominente foro de ciberdelincuencia ruso donde un actor de amenazas compartió un exploit dirigido a instancias de D-Link NAS afectadas por CVE-2024-3273. Este exploit compartido demostraba acceso a la cuenta de root, resaltando la gravedad de las vulnerabilidades.
ALos productos afectados incluyen modelos como D-Link DNS-320L, DNS-325, DNS-327L y DNS-340L hasta el 3 de abril de 2024. Además, investigadores de Cyble encontraron 94,446 dispositivos NAS de D-Link expuestos en Internet, con concentraciones en el Reino Unido, Tailandia, Italia, Alemania y Hungría.
Para mitigar estos riesgos, se recomienda a las organizaciones afectadas tomar varias medidas clave, como priorizar la actualización a versiones compatibles o reemplazar productos en su Fin de Vida (EOL) o Fin de Servicio (EOS) con alternativas más nuevas que reciban actualizaciones de seguridad regulares.
Asimismo, aislar los productos EOL/EOS en segmentos de red separados puede minimizar la exposición a amenazas y limitar el impacto potencial en la red. La implementación de firewalls, sistemas de detección de intrusiones (IDS) y soluciones de monitoreo de red puede fortalecer la seguridad general. Las evaluaciones de seguridad regulares y escaneos de vulnerabilidades son esenciales para identificar y abordar debilidades de manera oportuna.
Desarrollar e implementar planes de mitigación de riesgos, que incluyan medidas de contingencia y estrategias de continuidad empresarial, es crucial. Mantener una comunicación con los proveedores para opciones de soporte extendido y colaborar con la comunidad de ciberseguridad pueden abordar eficazmente estas preocupaciones. Por último, educar a los usuarios y administradores sobre los riesgos asociados con el software no compatible y promover el cumplimiento de las mejores prácticas de seguridad es esencial para salvaguardar los activos organizativos.
¡La seguridad cibernética es una responsabilidad compartida! Mantengámonos alerta y tomemos medidas proactivas para proteger nuestra información y sistemas contra amenazas en evolución constante.
