IT 之家 4 月 8 日消息,安全專家近日披露了漏洞,表示多款已停止支持的 D-Link 網絡附加存儲(NAS)設備上存在嚴重漏洞,可以讓攻擊者注入任意命令或者實現硬編碼後門漏洞。
發現該漏洞的研究人員 Netsecfish 解釋說,該問題存在于 "/cgi-bin/ nas_sharing.cgi" 腳本中,影響了其 HTTP GET 請求處理程序組件。
該漏洞追蹤編号爲 CVE-2024-3273,主要串聯通過 "system" 參數的命令注入問題,以及針對硬編碼賬戶(用戶名:"messagebus" 和空密碼)的後門,可以在設備上執行遠程攻擊命令。
命令注入漏洞源于通過 HTTP GET 請求向 "system" 參數添加 base64 編碼的命令,然後執行該命令。
研究人員警告說:" 成功利用這個漏洞可讓攻擊者在系統上執行任意命令,可能導緻未經授權訪問敏感信息、修改系統配置或拒絕服務情況 "。
IT 之家附上受 CVE-2024-3273 影響的設備型号如下:
DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
DNS-325 Version 1.01
DNS-327L Version 1.09, Version 1.00.0409.2013
DNS-340L Version 1.08
Netsecfish 稱,網絡掃描顯示有超過 9.2 萬台易受攻擊的 D-Link NAS 設備暴露在網上,很容易受到這些漏洞的攻擊。
D-Link 随後表示這些 NAS 設備已達到使用壽命(EOL),不再處于支持狀态。發言人表示:" 受影響的所有 D-Link 網絡附加存儲産品都已達到報廢和使用年限,與這些産品相關的資源已停止開發,不再提供支持。"
該發言人還告訴 BleepingComputer,受影響的設備不具備自動在線更新功能,也不像當前機型那樣具有發送通知的客戶拓展功能。
D-Link 推薦使用上述設備的用戶退役相關産品,并選擇可以接收固件更新的相關新産品。
