یک آسیبپذیری با شناسه CVE-2024-48271 و شدت 8.8 (بالا) بر روی سیستمهای D-Link NAS (Storage Attached Network) کشف شده است. این آسیبپذیری به مهاجم اجازه میدهد تا مکانیزم احراز هویت را دور بزند و سطح دسترسی خود را از طریق یک حمله brute force افزایش دهد. بهرهبرداری از این نقص امنیتی میتواند منجر به دسترسی غیرمجاز و منع سرویس شود.
بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H: بهرهبرداری از این آسیبپذیری نیاز به مجاورت شبکه دارد، باید از همان شبکه فیزیکی یا منطقی انجام شود.(AV:A) و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U)، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرند. (C:H و I:H و A:H)
محصولات آسیبپذیر
این آسیبپذیری نسخه D-LinkDSL6740C v6.TR069.20211230 را تحت تاثیر قرار داده است.
توصیه امنیتی
به کاربران توصیه میشود در اسرع وقت نسخههای آسیبپذیر را به نسخه های جدیدتر به روزرسانی کنند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-48271
[2]https://www.fortiguard.com/outbreak-alert/d-link-multiple-devices-attack
- 83