All’inizio di aprile 2024, alcuni ricercatori attivi nel contesto della cybersecurity, hanno individuato due problematiche di sicurezza che riguardano vecchi dispositivi NAS a marchio D-Link. Secondo quanto emerso, eventuali aggressori potrebbero sfruttare le vulnerabilità venute a galla per inviare comandi dannosi attraverso richieste HTTP.
La pagina pubblicata sul sito del NIST (National Vulnerability Database) contiene una descrizione puntuale della problematica che però, come sottolinea D-Link, riguarda esclusivamente dispositivi NAS che hanno ormai raggiunto, da tempo, la fine del loro ciclo di vita (end-of-line, EoL).
Nello specifico, i modelli di NAS interessati dalle due vulnerabilità in questione sono i seguenti:
- DNS-320L
- DNS-325
- DNS-327L
- DNS-340L
D-Link getta acqua sul fuoco: i dispositivi NAS in questione non sono più supportati da anni
Le vulnerabilità segnalate potrebbero esporre ad attacchi sferrati verso l’interfaccia di gestione Web dei dispositivi NAS citati in precedenza. Lo conferma D-Link, in un comunicato ufficiale, ammettendo che un utente malintenzionato può eventualmente accedere ai dispositivi senza averne titolo.
La problema in questione, tuttavia, riguarda solo ed esclusivamente prodotti D-Link legacy e tutte le revisioni hardware che hanno ormai già raggiunto il livello End of Life (“EoL”) o End of Service Life (“EoS”). I prodotti che hanno raggiunto tale status non ricevono più aggiornamenti software, patch di sicurezza e non sono più supportati da D-Link.
Il produttore consiglia quindi di ritirare e sostituire i dispositivi D-Link che hanno raggiunto lo stato di EoL/EoS. Indipendentemente dal tipo di prodotto o dal canale di vendita, la politica generale di D-Link prevede infatti che, quando i prodotti raggiungono lo stato di EoS/EoL, non possano più essere supportati e per essi termina definitivamente lo sviluppo del firmware.
I NAS vulnerabili venduti sul mercato italiano nel periodo 2011-2018 sono inferiori alle 1.800 unità
D-Link ribadisce che non può fornire assistenza per i prodotti EoL/EoS: se il dispositivo è stato messo a disposizione da un fornitore di servizi, occorre contattarlo. L’azienda osserva inoltre che su alcuni dispositivi è possibile installare firmware aperti sviluppati da terze parti. Tuttavia, “D-Link non supporta i firmware aperti, che annullano qualsiasi garanzia e sono di esclusiva responsabilità del proprietario del dispositivo“.
Nel caso dei NAS DNS-320L, DNS-325, DNS-327L e DNS-340L, D-Link ha comunque fornito – per i due anni successivi alla fine del periodo di supporto (EoL) – il supporto necessario, fino alla successiva scadenza EoS.
In Italia, inoltre, il numero di NAS vulnerabili ormai fuori produzione e non più supportati, è assolutamente esiguo.
D-Link, insomma, ha agito in maniera assolutamente tempestiva e corretta, fornendo tutte le indicazioni e il supporto necessario prima, durante e dopo il termine del ciclo di vita di ciascun prodotto. Suggeriamo di fare riferimento alla tabella condivisa da D-Link a questo indirizzo: contiene la lista dei dispositivi da sostituire con la relativa data di fine supporto.
Da parte nostra, ci sentiamo di aggiungere che un server NAS non dovrebbe mai essere direttamente esposto sull’IP pubblico. Quando un dispositivo del genere non si affaccia sulla porta WAN, non può infatti essere bersaglio di alcun tentativo di attacco, proprio perché raggiungibile solo attraverso la rete locale.
Aggiornamento 17/04/2024: a seguito di una comunicazione da parte di D-Link abbiamo provveduto ad aggiornare il testo di questo articolo, dando un contesto più ampio relativo alla problematica di sicurezza evidenziata.