Säkerhetsforskare på Netsecfish upptäckte nyligen en allvarlig säkerhetsbrist i flera lite äldre NAS-modeller från D-link. Men företaget planerar inte att ta fram några uppdateringar av mjukvaran till NAS-enheterna, rapporterar Bleeping Computer.
De drabbade modellerna är DNS-320, DNS-320LW, DNS-325 och DNS-340L. Bristen ligger i skriptet account_mgr.cgi och gör det möjligt att köra godtycklig kod på enheten via en särskilt formaterad HTTP GET-förfrågan:
curl "http://[Target-IP]/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27"
D-link slutade tillverka NAS-enheter helt och hållet taget för flera år sedan och skriver att det inte kommer släppa några uppdateringar för mjukvaran i någon produkt som har klassats som end-of-life. Företaget uppmanar användare att ta alla sådana enheter ur bruk och skaffa nya.
Netsecfish har hittat över 60 000 drabbade NAS-enheter öppna mot internet, och det är okänt hur många ytterligare enheter som står bakom brandväggar på lokala nätverk.
NAS-enheterna i fråga lanserades mellan 2011 och 2015, men med utbytbara hårddiskar har användare inte nödvändigtvis några andra skäl att skaffa nytt än modernare mjukvara med stöd för nyare tekniker. Det finns en alternativ mjukvara med öppen källkod för vissa av dessa modeller, kallad Alt-F, men den har inte heller uppdaterats sedan 2020.
