安全專家近日披露了漏洞,表示多款已停止支援的 D-Link 網路附加儲存(NAS)裝置上存在嚴重漏洞,可以讓攻擊者注入任意命令或者實現硬編碼後門漏洞。
發現該漏洞的研究人員 Netsecfish 解釋說,該問題存在於“/cgi-bin/ nas_sharing.cgi”指令碼中,影響了其 HTTP GET 請求處理程式元件。
該漏洞追蹤編號為 CVE-2024-3273,主要串聯通過“system”參數的命令注入問題,以及針對硬編碼帳戶(使用者名稱:“messagebus”和空密碼)的後門,可以在裝置上執行遠端攻擊命令。
命令注入漏洞源於通過 HTTP GET 請求向“system”參數新增 base64 編碼的命令,然後執行該命令。
研究人員警告說:「成功利用這個漏洞可讓攻擊者在系統上執行任意命令,可能導致未經授權訪問敏感資訊、修改系統組態或拒絕服務情況」
受 CVE-2024-3273 影響的裝置型號如下:
-
DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
-
DNS-325 Version 1.01
-
DNS-327L Version 1.09, Version 1.00.0409.2013
-
DNS-340L Version 1.08
Netsecfish 表示,網路掃描顯示有超過 9.2 萬台易受攻擊的 D-Link NAS 裝置暴露在網上,很容易受到這些漏洞的攻擊。
D-Link:不會推出更新
根據外媒bleepingcomputer詢問D-link,D-Link回應則是表示,這些受影響的NAS 設備已達到使用壽命 (EOL),不再受支援。
D-Link發言人表示:「這些列出的所有 D-Link NAS的生命週期和服務壽命已終止多年,並且與這些產品相關的資源已停止開發且不再受到支援。」
「D-Link 建議直接淘汰這些產品,並且用還可以接收到韌體更新的產品替換它們。」
該發言人還表示,這些受影響的裝置不具備自動線上更新功能,也不像當前機型那樣具有傳送通知的功能。
因此,對於這個漏洞問題,D-Link 僅發佈了一份安全公告 ,以提高人們對該缺陷以及立即淘汰或更換這些設備的必要性的認識。
受影響的型號
| Model | Region | Hardware Revision | End of Service Life |
Fixed Firmware | Conclusion | Last Updated |
| DNS-320L | All Regions | All H/W Revisions | 05/31/2020 : Link | Not Available | Retire & Replace Device | 04/01/2024 |
| DNS-325 | All Regions | All H/W Revisions | 09/01/2017 : Link | Not Available | Retire & Replace Device | 04/01/2024 |
| DNS-327L | All Regions | All H/W Revisions | 05/31/2020 : Link |
Not Available | Retire & Replace Device | 04/01/2024 |
| DNS-340L | All Regions | All H/W Revisions | 07/31/2019 : Link | Not Available | Retire & Replace Device | 04/01/2024 |
至於那些堅持使用這些舊款過時硬體的人,官方建議,至少應該把軟體更新到最新的版本,即使這些更新不能解決新發現的問題(例如 CVE-2024-3273)。
- 新聞來源:bleepingcomputer
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!