影響 9.2 萬臺，多款已停止支持的 D-Link NAS 設(shè)備被曝高危漏洞

IT之家 4 月 8 日消息，安全專家近日披露了漏洞，表示多款已停止支持的 D-Link 網(wǎng)絡(luò)附加存儲（NAS）設(shè)備上存在嚴(yán)重漏洞，可以讓攻擊者注入任意命令或者實(shí)現(xiàn)硬編碼后門漏洞。

發(fā)現(xiàn)該漏洞的研究人員 Netsecfish 解釋說，該問題存在于“/cgi-bin/ nas_sharing.cgi”腳本中，影響了其 HTTP GET 請求處理程序組件。

該漏洞追蹤編號為 CVE-2024-3273，主要串聯(lián)通過“system”參數(shù)的命令注入問題，以及針對硬編碼賬戶（用戶名：“messagebus”和空密碼）的后門，可以在設(shè)備上執(zhí)行遠(yuǎn)程攻擊命令。

命令注入漏洞源于通過 HTTP GET 請求向“system”參數(shù)添加 base64 編碼的命令，然后執(zhí)行該命令。

研究人員警告說：“成功利用這個(gè)漏洞可讓攻擊者在系統(tǒng)上執(zhí)行任意命令，可能導(dǎo)致未經(jīng)授權(quán)訪問敏感信息、修改系統(tǒng)配置或拒絕服務(wù)情況”。

IT之家附上受 CVE-2024-3273 影響的設(shè)備型號如下：

• DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013

• DNS-325 Version 1.01

• DNS-327L Version 1.09, Version 1.00.0409.2013

• DNS-340L Version 1.08

Netsecfish 稱，網(wǎng)絡(luò)掃描顯示有超過 9.2 萬臺易受攻擊的 D-Link NAS 設(shè)備暴露在網(wǎng)上，很容易受到這些漏洞的攻擊。

D-Link 隨后表示這些 NAS 設(shè)備已達(dá)到使用壽命（EOL），不再處于支持狀態(tài)。發(fā)言人表示：“受影響的所有 D-Link 網(wǎng)絡(luò)附加存儲產(chǎn)品都已達(dá)到報(bào)廢和使用年限，與這些產(chǎn)品相關(guān)的資源已停止開發(fā)，不再提供支持?！?/p>

該發(fā)言人還告訴 BleepingComputer，受影響的設(shè)備不具備自動在線更新功能，也不像當(dāng)前機(jī)型那樣具有發(fā)送通知的客戶拓展功能。

D-Link 推薦使用上述設(shè)備的用戶退役相關(guān)產(chǎn)品，并選擇可以接收固件更新的相關(guān)新產(chǎn)品。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。