Компанія D-Link підтвердила, що не буде випускать патч для понад 60 тисяч пристроїв D-Link NAS, які вразливі до критичної помилки введення команд (CVE-2024-10914), що дозволяє неавторизованим зловмисникам виконувати довільні команди за допомогою несанкціонованих HTTP-запитів. Вендор радить користувачам вилучити або ізолювати уражені пристрої від публічного доступу до інтернету. Повідомляється, що ця вразливість впливає на кілька моделей мережевих пристроїв зберігання даних D-Link, які зазвичай використовуються малим бізнесом: DNS-320, DNS-320LW, DNS-325 і DNS-340L. Притому вразливість стосується тільки певних версій цих СЗД.
Пошук, проведений експертами Netsecfish на платформі FOFA, показав, що в світі сьогодні використовується приблизно 40 тисяч пристроїв D-Link, вразливих до CVE-2024-10914.
В останньому бюлетені з безпеки компанія D-Link підтвердила, що виправлення для CVE-2024-10914 не планується, і виробник рекомендує користувачам вилучити вразливі продукти. Якщо це неможливо на даний момент, користувачам слід принаймні ізолювати їх від загальнодоступного Інтернету або встановити більш суворі умови доступу. Нагадаємо, що у квітні цього року в мережевих сховищах D-Link була знайена вразливість з довільним введенням команд та жорстко закодованим бекдором, що відстежується як CVE-2024-3273.