یک آسیبپذیری با شناسه CVE-2024-48271 و شدت 8.8 (بالا) بر روی سیستمهای D-Link NAS (Storage Attached Network) کشف شده است. این آسیبپذیری به مهاجم اجازه میدهد تا مکانیزم احراز هویت را دور بزند و سطح دسترسی خود را از طریق یک حمله brute force افزایش دهد. بهرهبرداری از این نقص امنیتی میتواند منجر به دسترسی غیرمجاز و منع سرویس شود. بر اساس بردار حمله این آسیبپذیری CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H: بهرهبرداری از این آسیبپذیری نیاز به مجاورت شبکه دارد، باید از همان شبکه فیزیکی یا منطقی انجام شود.(AV:A) و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست(AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N) و به تعامل با کاربر نیاز ندارد (UI:N)، بهرهبرداری از آسیبپذیری مذکور بر سایر منابع امنیتی تأثیر نمیگذارد (S:U)، هر سه ضلع امنیت با شدت بالا تحت تأثیر قرار میگیرند. (C:H و I:H و A:H)
محصولات آسیبپذیر
این نسخه D-Link DSL6740C v6.TR069.20211230 تحت تاثیر این آسیبپذیری قرار گرفته است.
توصیه امنیتی
به کاربران توصیه میشود در اسرع وقت نسخههای آسیبپذیر را به نسخه های جدیدتر به روزرسانی کنند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-48271
[2]https://www.fortiguard.com/outbreak-alert/d-link-multiple-devices-attack
- 52