安全專家近日披露了漏洞���,表示多款已停止支持的 D-Link 網(wǎng)絡(luò)附加存儲(NAS)設(shè)備上存在嚴(yán)重漏洞,可以讓攻擊者注入任意命令或者實現(xiàn)硬編碼后門漏洞�����。
發(fā)現(xiàn)該漏洞的研究人員 Netsecfish 解釋說�����,該問題存在于“/cgi-bin/ nas_sharing.cgi”腳本中���,影響了其 HTTP GET 請求處理程序組件����。
該漏洞追蹤編號為 CVE-2024-3273���,主要串聯(lián)通過“system”參數(shù)的命令注入問題�����,以及針對硬編碼賬戶(用戶名:“messagebus”和空密碼)的后門�����,可以在設(shè)備上執(zhí)行遠(yuǎn)程攻擊命令��。
命令注入漏洞源于通過 HTTP GET 請求向“system”參數(shù)添加 base64 編碼的命令���,然后執(zhí)行該命令����。
研究人員警告說:“成功利用這個漏洞可讓攻擊者在系統(tǒng)上執(zhí)行任意命令�����,可能導(dǎo)致未經(jīng)授權(quán)訪問敏感信息��、修改系統(tǒng)配置或拒絕服務(wù)情況”��。
IT之家附上受 CVE-2024-3273 影響的設(shè)備型號如下:
DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013
DNS-325 Version 1.01
DNS-327L Version 1.09, Version 1.00.0409.2013
DNS-340L Version 1.08
Netsecfish 稱��,網(wǎng)絡(luò)掃描顯示有超過 9.2 萬臺易受攻擊的 D-Link NAS 設(shè)備暴露在網(wǎng)上���,很容易受到這些漏洞的攻擊�����。
D-Link 隨后表示這些 NAS 設(shè)備已達(dá)到使用壽命(EOL)����,不再處于支持狀態(tài)�����。發(fā)言人表示:“受影響的所有 D-Link 網(wǎng)絡(luò)附加存儲產(chǎn)品都已達(dá)到報廢和使用年限���,與這些產(chǎn)品相關(guān)的資源已停止開發(fā)����,不再提供支持���。”
該發(fā)言人還告訴 BleepingComputer��,受影響的設(shè)備不具備自動在線更新功能���,也不像當(dāng)前機型那樣具有發(fā)送通知的客戶拓展功能。
D-Link 推薦使用上述設(shè)備的用戶退役相關(guān)產(chǎn)品����,并選擇可以接收固件更新的相關(guān)新產(chǎn)品�。
京公網(wǎng)安備 11010502041587號