92,000 台 D-Link NAS 设备的关键 RCE 漏洞被用于僵尸网络攻击，制造商表示扔掉，无解

攻击者正在积极瞄准超过 92,000 个报废的 D-Link NAS设备，这些设备在线暴露且服务商并不提供针对远程代码执行 (RCE)0day漏洞的补丁方案。

此安全漏洞 ( CVE-2024-3273 ) 是通过硬编码帐户（用户名“messagebus”，密码为空）促成的后门以及通过“system”参数的命令注入问题造成的。

攻击者现在将这两个安全漏洞链接起来，部署 Mirai 恶意软件变体 ( skid.x86 )。Mirai 变体通常旨在将受感染的设备添加到可用于大规模分布式拒绝服务 (DDoS) 攻击的僵尸网络中。

据网络安全公司 GreyNoise和威胁监控平台 ShadowServer观察，这些攻击于周一开始。两周前，安全研究人员 Netsecfish在 D-Link 通知他们这些报废设备不会得到修补后披露了该漏洞。

Netsecfish 解释说：“所描述的漏洞影响多个 D-Link NAS 设备，包括 DNS-340L、DNS-320L、DNS-327L 和 DNS-325 等型号。”

“成功利用此漏洞可能允许攻击者在系统上执行任意命令，从而可能导致未经授权访问敏感信息、修改系统配置或拒绝服务。”

网上暴露的易受攻击的 D-Link NAS 设备 (Netsecfish)

当被问及是否会发布安全更新来修补这个0day漏洞时，D-Link 表示（https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383），他们不再支持这些报废 (EOL) NAS 设备。

D-Link 发言人称：“所有 D-Link NAS设备已终止其生命周期和服务寿命，并且与这些产品相关的资源已停止开发且不再受支持。”

“D-Link 建议淘汰这些产品，并用接收固件更新的产品替换它们。”

该发言人补充说，这些 NAS 设备不具备自动在线更新或警报发送功能，因此无法通知所有者这些正在进行的攻击。

消息披露后，D-Link于周四发布了安全公告，通知用户该安全漏洞，并建议他们尽快淘汰或更换受影响的设备。

它还为旧设备创建了一个支持页面，警告所有者通过旧支持网站应用最新的安全和固件更新，尽管这并不能保护他们的设备免受攻击。

D-Link 警告说：“如果美国消费者违反 D-Link 的建议继续使用这些设备，请确保该设备具有最新的已知固件。”

D-Link 没有说的是 NAS 设备不应在网上公开，因为它们通常是勒索软件攻击的目标，以窃取或加密数据。

近几个月来，其他 D-Link 设备（其中一些也已报废）已成为多个基于 Mirai 的 DDoS 僵尸网络 （其中一个 被追踪为 IZ1H9）的目标。该僵尸网络所有者不断致力于扩展它们的功能，添加新的漏洞和攻击目标。

D-link友讯科技股份有限公司是总部位于台北市的科技公司，专注于电脑网络设备的设计开发，自创“D-Link”品牌，主要提供消费者及企业所使用的无线网络和以太网硬件产品等网络通信设备与解决方案。在全世界44国设立82个营销据点，品牌营收近6亿美元。全球拥有超过一千六百名以上的员工。

参考链接：https://www.bleepingcomputer.com/news/security/critical-rce-bug-in-92-000-d-link-nas-devices-now-exploited-in-attacks/