IT之家 4 月 8 日消息,安全專家近日披露了漏洞,表示多款已停止支援的 D-Link 網絡附加存儲(NAS)裝置上存在嚴重漏洞,可以讓攻擊者注入任意指令或者實作寫死後門漏洞。
發現該漏洞的研究人員 Netsecfish 解釋說,該問題存在于“/cgi-bin/ nas_sharing.cgi”腳本中,影響了其 HTTP GET 請求處理程式元件。
該漏洞追蹤編号為 CVE-2024-3273,主要串聯通過“system”參數的指令注入問題,以及針對寫死賬戶(使用者名:“messagebus”和空密碼)的後門,可以在裝置上執行遠端攻擊指令。
指令注入漏洞源于通過 HTTP GET 請求向“system”參數添加 base64 編碼的指令,然後執行該指令。
研究人員警告說:“成功利用這個漏洞可讓攻擊者在系統上執行任意指令,可能導緻未經授權通路敏感資訊、修改系統配置或拒絕服務情況”。
IT之家附上受 CVE-2024-3273 影響的裝置型号如下:
- DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
- DNS-325 Version 1.01
- DNS-327L Version 1.09, Version 1.00.0409.2013
- DNS-340L Version 1.08
Netsecfish 稱,網絡掃描顯示有超過 9.2 萬台易受攻擊的 D-Link NAS 裝置暴露在網上,很容易受到這些漏洞的攻擊。
D-Link 随後表示這些 NAS 裝置已達到使用壽命(EOL),不再處于支援狀态。發言人表示:“受影響的所有 D-Link 網絡附加存儲産品都已達到報廢和使用年限,與這些産品相關的資源已停止開發,不再提供支援。”
該發言人還告訴 BleepingComputer,受影響的裝置不具備自動線上更新功能,也不像目前機型那樣具有發送通知的客戶拓展功能。
D-Link 推薦使用上述裝置的使用者退役相關産品,并選擇可以接收固件更新的相關新産品。