D-Link rät Kunden, NAS-Geräte mit End-of-Life-Status zu ersetzen. Die Geräte enthalten zwei Schwachstellen, die Angreifern das Einschleusen von Befehlen und Backdoor-Angriffe ermöglichen. Das Unternehmen gibt keine Sicherheitsupdates mehr heraus.
D-Link schreibt in einem Blogbeitrag, dass es Ende März von der Sicherheitsfirma VulDB über die Schwachstellen CVE-2024-3272 und CVE-2024-3273 informiert wurde. Die erste Schwachstelle wird als sehr kritisch eingestuft, während CVE-2024-3273 eine kritische Schwachstelle darstellt. Böswillige Akteure könnten sich über die Schwachstellen Zugang zu sensiblen Daten auf NAS-Geräten verschaffen, aber auch die Systemkonfiguration des Geräts verändern oder einen Denial-of-Service auslösen.
Laut dem GitHub-Nutzer NetworkSecurityFish sollen etwa 92.000 NAS-Geräte von D-Link betroffen sein. D-Link schreibt, dass es sich dabei um ältere Geräte handelt, die nun das Ende ihrer Lebensdauer oder das Ende ihres Diensteserreicht haben. Das Unternehmen hat eine Liste aller betroffenen NAS-Geräte veröffentlicht, in der 20 Modelle aufgeführt sind, darunter die Modelle DNS-340L, DNS-320L, DNS-327L und DNS-325.
D-Link schreibt, dass, wenn ein Produkt den End-of-Life- oder End-of-Service-Status erreicht hat, kein weiterer Support oder Software-Updates zu erwarten sind. Das Unternehmen empfiehlt daher, die NAS-Geräte auszumustern und zu ersetzen.
