Как сообщает популярный ресурс Tom’s Hardware, компания D-Link отказывается исправлять выявленную уязвимость на более, чем 60 тысячах устройств NAS, мотивируя это тем, что срок поддержки моделей закончился еще в 2020 году. Вместо выпуска патча D-Link рекомендует пользователям приобрести новые хранилища актуальных в настоящий момент линеек.
Критическая уязвимость под номером CVE-2024-10914 позволяет удаленно получить доступ к хранилищу, если оно подключено к интернету, и, хотя атака является достаточно сложной в реализации, в теории осуществить ее может любой технический подкованный злоумышленник. Чтобы защититься от атаки владельцам уязвимых NAS придется или отключать их от интернета, или использовать список доверенных IP-адресов, или инсталлировать сторонние прошивки, что, в свою очередь, также может быть небезопасным.
По мнению ряда экспертов, описанный кейс поднимает важную проблему — обязаны ли компании исправлять критические уязвимости по истечении срока поддержки того или иного продукта? А если обязаны – то в течение какого периода времени? В настоящий момент этот вопрос никак не регулируется, и руководство фирм принимает решение по собственному усмотрению.