D-Link no solucionará una vulnerabilidad crítica en dispositivos NAS obsoletos

Por /

Un riesgo de seguridad para miles de dispositivos conectados a internet

A diferencia de empresas como Microsoft, D-Link no solucionará una vulnerabilidad crítica en sus dispositivos NAS descontinuados. Este problema persiste en modelos que han llegado al final de su ciclo de vida, lo que plantea preocupaciones entre los analistas de seguridad.Los dispositivos NAS de D-Link se mantienen vulnerables debido a la falta de soporte y actualizaciones. Aunque se han dado recomendaciones básicas, el riesgo de explotación sigue siendo alto, instando a los usuarios a considerar opciones más seguras.

El problema de la vulnerabilidad

Una vulnerabilidad de seguridad recientemente divulgada que afecta a dispositivos NAS D-Link permanecerá sin ser parcheada, ya que el fabricante confirmó que estos modelos han alcanzado su estado de fin de vida/fin de servicio. Esto significa que probablemente seguirán siendo vulnerables.

D-Link NAS

Detalles técnicos

La vulnerabilidad, rastreada como CVE-2024-10914, afecta a los sistemas NAS DNS-320, DNS-320LW, DNS-325 y DNS-340L con firmware hasta la versión 20241028. Este fallo crítico se encuentra en el comando «cgi_user_add» y puede ser activado mediante una solicitud HTTP GET especialmente diseñada.

Acciones de D-Link

D-Link publicó recientemente un boletín de seguridad reconociendo la ‘Vulnerabilidad de Inyección de Comandos’ descubierta por NetSecFish en varios modelos NAS. La empresa recomendó a los propietarios retirar estos dispositivos afectados y considerar alternativas más recientes.

Consejos de seguridad

D-Link ofreció algunos consejos generales para usuarios que continúan usando estos dispositivos NAS críticamente vulnerables: asegurar que el último firmware esté instalado, usar una contraseña única y habilitar la encriptación Wi-Fi. Sin embargo, estos pasos hacen poco por mitigar la vulnerabilidad CVE-2024-10914.

Historial de vulnerabilidades

A principios de este año, el mismo investigador identificó una vulnerabilidad adicional de inyección de comandos y una puerta trasera codificada en los mismos modelos NAS (CVE-2024-3273). D-Link tampoco emitió una solución o actualización de firmware para esa vulnerabilidad.

Amazon Fire TV Stick con mando por voz Alexa (incluye controles del TV), dispositivo de streaming HD
Amazon Fire TV Stick con mando por voz Alexa (incluye controles del TV), dispositivo de streaming HD
  • La última versión de nuestro dispositivo de streaming más vendido: con un 50 % más de potencia que el Fire TV Stick del...
  • Menos desorden, más control: el mando por voz Alexa te permite usar la voz para buscar contenido e iniciar la reproducción...
  • Sonido de calidad gracias a la compatibilidad con Dolby Atmos: con sistemas de sonido compatibles, siente cómo cobran vida...
Ver en Amazon

Más noticias:

Rubén
Últimas entradas de Rubén (ver todo)
Suscribirme
Notificarme sobre
guest
3 Comentarios
Antiguos
Nuevos Mejor valorados
Inline Feedbacks
View all comments
CarlosMiguelAtaujeCabrera

Si bien se menciona que se ha dado un boletín de seguridad, ¿se han comunicado las vulnerabilidades específicas a los usuarios afectados?

0
Responder
Fredi Díaz

¡Vaya, una vulnerabilidad crítica sin parche! 😨 Es importante que los usuarios tomen precauciones y consideren alternativas más seguras.

0
Responder
Santiago Vigil

Es una lástima que los modelos D-Link ya no reciban soporte, espero que los usuarios puedan tomar medidas para proteger sus dispositivos.

0
Responder
3
0
Me encantaría conocer tu opinión, comenta.x
Scroll al inicio