Oltre 92 mila dispositivi NAS D-Link, giunti a fine vita, sono nel mirino di attaccanti che stanno sfruttando la falla critica RCE (esecuzione di codice remoto). Risultano esposti online e privi di patch, ma la vulnerabilità CVE-2024-3273 è frutto di una backdoor e i device necessitano di aggiornamenti urgenti.
“È preoccupante vedere che gli attaccanti stanno sfruttando attivamente le vulnerabilità con l’intento di compromettere i dispositivi e utilizzarli per attacchi DDoS su larga scala”, commenta Dario Fadda, esperto di cyber sicurezza e collaboratore di Cybersecurity360.
“Quanto sta succedendo ci ricorda, se mai ce ne fosse il bisogno, quanto sia importante mettere in atto una corretta gestione dei prodotti alla fine del loro ciclo di vita“, conferma Sandra Marsico, Customer Success Manager di Swascan.
“Il recente allarme sulla sicurezza”, avverte Riccardo Paglia, Head of Sales, IT & COO di Swascan, “solleva nuovamente la questione della sicurezza dei dati degli utenti e la crescente mira dei cyber criminali sui dispositivi di archiviazione connessi. Questo episodio non è isolato ma segue una tendenza preoccupante osservata negli ultimi mesi, dove i dispositivi NAS, accessibili sia direttamente da remoto che attraverso servizi di terze parti, sono diventati obiettivi privilegiati per gli attacchi informatici”.
Indice degli argomenti
Falla critica RCE: esposti i dispositivi NAS D-Link
A preoccupare gli esperti sono una backdoor con account hardcoded (nome utente “messagebus” con una password vuota) e attività di command injection tramite il parametro “system”.
Infatti “la vulnerabilità comprende due gravi falle di sicurezza: una backdoor hardcoded che consente agli attaccanti di eludere i meccanismi di autenticazione e una command injection che permette l’esecuzione non autorizzata di comandi sui dispositivi interessati“, secondo Riccardo Michetti, Senior Threat Intelligence Analyst di Swascan: “La gravità di questa vulnerabilità è considerevole, rappresentando significativi rischi per la riservatezza, l’integrità e la disponibilità dei dati memorizzati su questi dispositivi”.
“L’account backdoor fornisce agli aggressori un metodo semplice per ottenere accesso non autorizzato ai dispositivi”, continua Michetti, “bypassando le misure di sicurezza standard. La vulnerabilità di command injection può invece essere sfruttata inviando richieste HTTP GET encodate in base64 all’endpoint nas_sharing.cgi. Questa falla consente agli aggressori di eseguire comandi arbitrari sul dispositivo, portando a potenziali furti di dati, interruzioni di sistema o ulteriori infezioni da malware, come si è già osservato per il caso Mirai”.
“L’impatto di questa vulnerabilità è significativo”, conclude Michetti: “Le conseguenze potenziali includono l’accesso non autorizzato ai dati sensibili memorizzati sui dispositivi, la modifica delle configurazioni del dispositivo che può portare ad interruzioni del sistema o alla compromissione della sicurezza della rete, e il dispositivo che può essere utilizzato come punto di pivot per ulteriori attacchi all’interno della rete interessata o verso altre macchine esposte”.
La variante di Mirai
Gli attori delle minacce stanno ora concatenando queste due falle di sicurezza per distribuire una variante del malware Mirai (skid.x86). Le varianti di Mirai di solito puntano ad aggiungere dispositivi infetti a una botnet da sfruttare per sferrare attacchi DDoS su larga scala.
Questi attacchi sono iniziati lunedì, come osserva la società di cyber sicurezza GreyNoise e dalla piattaforma di monitoraggio delle minacce ShadowServer. Due settimane prima, il ricercatore di sicurezza Netsecfish aveva rivelato la falla dopo che D-Link aveva comunicato che i dispositivi a fine vita erano privi di patch.
“La vulnerabilità descritta riguarda diversi dispositivi NAS di D-Link, tra cui i modelli DNS-340L, DNS-320L, DNS-327L e DNS-325”, spiega Netsecfish.
“Lo sfruttamento riuscito di questa vulnerabilità potrebbe permettere a un aggressore di eseguire comandi arbitrari sul sistema, portando potenzialmente all’accesso non autorizzato a informazioni sensibili, alla modifica delle configurazioni di sistema o a condizioni di denial of service“.
Ma D-Link ha spiegato di non supportare più questi dispositivi NAS a fine vita (EOL).
La gestione del fine vita “è sicuramente una sfida critica per le organizzazioni (l’ennesima), poiché comporta la gestione di hardware, ma anche software, che non riceverà più supporto ufficiale, inclusi gli aggiornamenti di sicurezza o le patch”, sottolinea ancora Sandra Marsico: “Non mettendo in atto processi specifici per la gestione del fine vita dei loro asset, le aziende si espongono a rischi significativi, compresi quelli per la sicurezza dei dati e la continuità operativa“.
“Le imminenti minacce rappresentate dalle CVE che colpiscono i dispositivi NAS D-Link sottolineano l’urgente necessità di adottare misure proattive di sicurezza”, mette in guardia Riccardo D’Ambrosio, Security Analyst di Swascan.
Come mitigare il rischio della falla nei NAS D-Link
In seguito alla divulgazione, giovedì D-Link ha pubblicato un avviso di sicurezza per informare i proprietari della vulnerabilità. D-Link consiglia di ritirare questi prodotti e di sostituirli con prodotti che ricevono aggiornamenti del firmware: “Tutti i dispositivi di archiviazione D-Link Network Attached Storage sono giunti al termine del ciclo di vita e della durata di servizio da molti anni [e] le risorse associate a questi prodotti hanno cessato lo sviluppo e non sono più supportate”, ha dichiarato un portavoce dell’azienda.
Ha inoltre creato una pagina di supporto per i dispositivi legacy, per avvertire i proprietari di applicare gli ultimi aggiornamenti di sicurezza e firmware disponibili attraverso il sito web di supporto legacy. Ma ciò non potrà proteggere i loro dispositivi dagli aggressori.
“Se i consumatori statunitensi continuano a utilizzare questi dispositivi contro le raccomandazioni di D-Link, assicuratevi che il dispositivo abbia l’ultimo firmware conosciuto”, ha avvertito D-Link.
Ciò che D-Link si è dimenticata di sottolineare è che i dispositivi NAS non dovrebbero essere esposti online. Infatti sono comunemente presi di mira negli attacchi ransomware per rubare o criptare i dati. Negli ultimi mesi, altri dispositivi D-Link (alcuni dei quali a fine vita) sono finiti nel mirino di diverse botnet DDoS basate su Mirai (compresa IZ1H9). I loro proprietari continuano ad espandere le loro capacità, introducendo nuovi exploit e obiettivi da attaccare.
“Evitare l’esposizione dei dispositivi NAS o la loro sostituzione con modelli più recenti, che incorporano standard di secure coding diffusi, può efficacemente mitigare la maggior parte delle vulnerabilità dei dispositivi in End Of Life”, sottolinea Riccardo D’Ambrosio: “Questo approccio previene l’inclusione dei dispositivi nei bersagli dei criminal hacker, compresi i gruppi come la botnet Mirai, che sfruttano facilmente le CVE per i loro scopi”.
Obsolescenza programmata: come mettersi al riparo
“La questione della obsolescenza programmata in questo caso deve necessariamente assumere carattere di urgenza”, sottolinea Dario Fadda, “ed essere considerata proattivamente con la sostituzione dei dispositivi non più in supporto. Tra le aziende invece è una attività che invece viene demandata unicamente al produttore, che non può più essere considerato un alleato per quanto riguarda la sicurezza di tali dispositivi”.
A questo proposito, “vale la pena ricordare anche l’importanza dell’esposizione ad Internet di determinate porte di controllo dei dispositivi di rete”, conclude Fadda, “spesso anche senza effettiva necessità. Limitare questa esposizione inizia a creare una prima barriera di protezione nei confronti di chi cerca una porta d’ingresso nei nostri sistemi aziendali. Qualora invece la necessità sia preponderante, conviene attuare sempre l’esposizione con sistemi di protezione attivi, come firewall e VPN interne all’infrastruttura di modo di filtrarne il più possibile, i tentativi di accessi malevoli“.
“Data la natura semplice del metodo di sfruttamento”, conclude Michetti, “è vitale quindi per le organizzazioni e gli individui che utilizzano i modelli D-Link NAS interessati ad applicare prontamente gli aggiornamenti del firmware in quanto in End of Life. Gli utenti dovrebbero anche considerare di cambiare le password predefinite e impiegare ulteriori misure di sicurezza della rete, come ad esempio aperture FireWall puntuali, per mitigare il rischio posto da questa e da altre vulnerabilità simili”.
Una strategia efficace
“L’unico modo di non trovarsi in una situazione di questo tipo è effettuare una pianificazione anticipata, eseguire un inventario e una valutazione, la gestione del rischio, sviluppare un piano di sostituzione e aggiornamento“, mette in evidenza Sandra Marsico.
Infatti, “la pianificazione anticipata” significa “identificare e pianificare in anticipo i prodotti che si avvicinano al loro EoL”, spiega la Customer Success Manager di Swascan: “questo include il monitoraggio delle date di EoL fornite dai fornitori e la pianificazione di upgrade o sostituzioni ben prima che il prodotto raggiunga il suo EoL. Ricordiamoci che i prodotti in questione sono stati dichiarati dal vendor in EOL/EOS tra il 2015 e il 2017”.
Occorre sottolineare, comunque, che per i due anni successivi all’End of Life (evento del tutto fisiologico trattandosi di dispositivi datati e soggetti a rapida obsolescenza per l’evolversi tecnologico del settore) D-Link ha continuato a fornire il supporto necessario fino al naturale raggiungimento del definitivo “End of Service”.
Ai seguenti link sono riportate tutte le informazioni relative ai singoli dispositivi: DNS-320L, DNS-325, DNS-327L e DNS-340L.
Dunque, è importante “mantenere un inventario aggiornato di tutti i dispositivi e le applicazioni in uso e valutare regolarmente la loro importanza critica per le operazioni aziendali”, secondo Sandra Marsico: “Ciò aiuta a determinare quali prodotti in EoL necessitano di attenzione prioritaria”.
In ambito di gestione del rischio, secondo Sandra Marsico, è necessario “valutare i rischi associati al mantenimento di prodotti in EoL, inclusa la potenziale esposizione a vulnerabilità di sicurezza non corrette. I piani di mitigazione del rischio inoltre possono includere controlli di sicurezza aggiuntivi, isolamento di sistema, o l’uso di software di virtualizzazione per ridurre l’esposizione”.
Infine, bisogna “sviluppare un piano per sostituire o aggiornare i prodotti in EoL. Questo può includere la ricerca di alternative moderne che offrono migliori prestazioni e maggiore sicurezza”, conclude Sandra Marsico.
Update e manutenzione
“Una strategia efficace deve necessariamente includere attività periodiche di aggiornamento e manutenzione dei dispositivi per garantire che siano protetti contro le ultime vulnerabilità note”, conferma Riccardo Paglia.
“Tuttavia, queste misure, pur essenziali, potrebbero non essere sufficienti da sole”, mette in guardia l’Head of Sales, IT & COO di Swascan: “Per rafforzare ulteriormente la sicurezza, è vitale implementare regolari sessioni di assessment della sicurezza”.
“Queste valutazioni dovrebbero esaminare non solo l’integrità fisica e il software dei dispositivi ma anche le politiche di sicurezza e le pratiche operative che li circondano. Un assessment completo della sicurezza dovrebbe valutare la resilienza dei dispositivi contro gli attacchi, identificare potenziali vulnerabilità nascoste e proporre misure correttive per mitigare i rischi identificati”, aggiunge Riccardo Paglia.
“L’importanza di queste pratiche di sicurezza si estende oltre la protezione dei dati dell’utente; rappresenta una componente critica del mantenimento della fiducia e della reputazione di un’organizzazione. Gli utenti si affidano ai fornitori di dispositivi e servizi per proteggere le loro informazioni personali e aziendali. Quando questa fiducia viene compromessa, il danno alla reputazione di un’azienda può essere significativo e di lunga durata”, conclude Paglia.
Le precisazioni di D-Link
D-link conferma che la vulnerabilità, che permette a un utente malintenzionato di sfruttare i dispositivi, è presente sui seguenti modelli NAS DNS-340L, DNS-320L, DNS-327L e DNS-325. Nel mercato italiano, i modelli venduti fra il 2011 e il 2018 sono meno di 1.800 unità. L’expoit è un attacco di command injection e backdoor account per l’interfaccia di gestione web dei dispositivi
Ma l’azienda spiega che se i NAS non sono connessi direttamente a Internet o se c’è un firewall di sicurezza, il rischio di esposizione alla vulnerabilità è minimo.
Alcuni dispositivi di questa lista sono tuttavia equipaggiati con firmware aperto di terze parti. Ma D-Link non fornisce il supporto dei firmware aperti, che azzerano ogni garanzia. Infatti sono di esclusiva responsabilità del proprietario del dispositivo.
Infine D-Link suggerisce il ritiro e la sostituzione dei dispositivi D-Link a fine vita. Una volta raggiunto l’EOL/EOS, a prescindere dalla tipologia di prodotto o dal canale di vendita, la policy generale dell’azienda prevede infatti la fine del supporto e la cessazione dello sviluppo del firmware.