白帽故事 · 2024年4月7日

【CVE-2024-3273】预计超过 92000 台 D-Link NAS 设备存在后门帐户

概述

近日,安全研究人员披露了多个报废 D-Link 网络存储 (NAS) 设备型号中存在新的任意命令注入和硬编码后门漏洞。

发现该缺陷的安全研究人员“Netsecfish”称,该问题存在于“/cgi-bin/nas_sharing.cgi”脚本中,影响其 HTTP GET 请求处理程序组件。

导致该漏洞(编号为 CVE-2024-3273)的两个主要问题是通过硬编码帐户(用户名:“messagebus”和空密码)造成的后门以及通过“system”参数的命令注入问题。

任何攻击者都可以在设备上远程执行命令,且PoC已公布。

CVE-2024-3273

命令注入漏洞通过 HTTP GET 请求将 Base64 编码的命令添加到“system”参数中从而被执行:

file

研究人员称:“成功利用此漏洞可能允许攻击者在系统上执行任意命令,从而可能导致未经授权访问敏感信息、修改系统配置或拒绝服务。”

受 CVE-2024-3273 影响的设备型号包括:

  • DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
  • DNS-325 Version 1.01
  • DNS-327L Version 1.09, Version 1.00.0409.2013
  • DNS-340L Version 1.08

Netsecfish 表示,通过搜索引擎扫描显示超过 92,000 台易受攻击的 D-Link NAS 设备暴露于互联网,这些设备易受到该漏洞攻击。

file

暂无补丁

在联系了D-Link关于该漏洞以及是否会发布补丁后,D-Link称这些NAS设备已经到了生命周期的终点(EOL),不再受到支持。

“D-Link建议停用这些产品,并用可以接收固件更新的产品取而代之。”

此外,NAS设备不应暴露在互联网上,因为它们通常会成为窃取数据或勒索攻击中加密的目标。