D-Link NAS設(shè)備存在嚴(yán)重漏洞，易受攻擊者注入任意命令攻擊

據(jù)有關(guān)安全專家透露，一系列已經(jīng)停產(chǎn)的D-Link網(wǎng)絡(luò)附屬儲(chǔ)存（NAS）設(shè)備存在嚴(yán)重安全隱患，使攻擊者能輕松實(shí)現(xiàn)命令注入或創(chuàng)建硬盤后門。

漏洞位于“/cgi-bin/nas_sharing.

該問(wèn)題源于URL處理軟件中的CGI腳本段“/cgi-bin/ nas_sharing. CGI”，其對(duì)HTTPGET請(qǐng)求的處理過(guò)程存在漏洞。該漏洞以CVE-2024-3273作為識(shí)別號(hào)，其方式包括以”system“參數(shù)進(jìn)行的命令注入，及針對(duì)固定賬號(hào)（用戶名： ”messagebus“，密碼：空）的后門，從而允許遠(yuǎn)程攻擊指令被下達(dá)至設(shè)備。

此漏洞源于通過(guò)HTTPGET請(qǐng)求向”system“參數(shù)插入base64編碼的命令進(jìn)而執(zhí)行。研究人員警醒道，此類攻擊成功實(shí)施將允許攻擊者在設(shè)備上執(zhí)行任意命令，可能導(dǎo)致未授權(quán)訪問(wèn)敏感信息、系統(tǒng)配置更改或服務(wù)癱瘓等事項(xiàng)發(fā)生。

受CVE-2024-3273影響的設(shè)備包括：

DNS-320L Version 1.11，Version 1.03.0904.2013，Version 1.01.0702.2013

DNS-325 Version 1.01

DNS-327L Version 1.09， Version 1.00.0409.2013

DNS-340L Version 1.08

根據(jù)網(wǎng)絡(luò)掃描結(jié)果，至少超過(guò)9.2萬(wàn)個(gè)易被攻擊的D-Link NAS設(shè)備投入到實(shí)際應(yīng)用中，極易遭受此類漏洞的威脅。

D-Link公司回應(yīng)指出這些設(shè)備已因使用壽命到期而停機(jī)，不再享受官方技術(shù)支持。聲明人表示：“所有涉及的D-Link網(wǎng)絡(luò)附加儲(chǔ)存設(shè)備均已達(dá)到或超過(guò)預(yù)期使用壽命，與之相關(guān)的技術(shù)資源不再進(jìn)行維護(hù)與支持。同時(shí)，”

該聲明人還進(jìn)一步坦白，受影響的設(shè)備無(wú)法如現(xiàn)有型號(hào)般自動(dòng)更新，亦缺乏客戶拓展功能以發(fā)送提醒郵件。

因此，他強(qiáng)烈建議用戶盡快更換這些設(shè)備，選擇具有固件自動(dòng)更新功能的新型態(tài)貨品。