概述
近日,安全研究人员披露了多个报废 D-Link 网络存储 (NAS) 设备型号中存在新的任意命令注入和硬编码后门漏洞。
发现该缺陷的安全研究人员“Netsecfish”称,该问题存在于“/cgi-bin/nas_sharing.cgi”脚本中,影响其 HTTP GET 请求处理程序组件。
导致该漏洞(编号为 CVE-2024-3273)的两个主要问题是通过硬编码帐户(用户名:“messagebus”和空密码)造成的后门以及通过“system”参数的命令注入问题。
任何攻击者都可以在设备上远程执行命令,且PoC已公布。
CVE-2024-3273
命令注入漏洞通过 HTTP GET 请求将 Base64 编码的命令添加到“system”参数中从而被执行:
研究人员称:“成功利用此漏洞可能允许攻击者在系统上执行任意命令,从而可能导致未经授权访问敏感信息、修改系统配置或拒绝服务。”
受 CVE-2024-3273 影响的设备型号包括:
- DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
- DNS-325 Version 1.01
- DNS-327L Version 1.09, Version 1.00.0409.2013
- DNS-340L Version 1.08
Netsecfish 表示,通过搜索引擎扫描显示超过 92,000 台易受攻击的 D-Link NAS 设备暴露于互联网,这些设备易受到该漏洞攻击。
暂无补丁
在联系了D-Link关于该漏洞以及是否会发布补丁后,D-Link称这些NAS设备已经到了生命周期的终点(EOL),不再受到支持。
“D-Link建议停用这些产品,并用可以接收固件更新的产品取而代之。”
此外,NAS设备不应暴露在互联网上,因为它们通常会成为窃取数据或勒索攻击中加密的目标。