漏洞描述:
近日监测到多款D-Link网络附加存储 (NAS) 设备型号中存在硬编码帐户后门漏洞(CVE-2024-3272,CVSS评分9.8)和命令注入漏洞(CVE-2024-3273,CVSS评分7.3),目前这些漏洞的详情及PoC/EXP已公开,且已发现被利用,D-Link DNS-320L、DNS-325、DNS-327L、DNS-340L等多个产品的/cgi-bin/nas_sharing.cgi脚本中存在硬编码后门漏洞(用户名messagebus,密码为空),以及可通过system参数导致命令注入漏洞,威胁者可组合利用这两个漏洞通过HTTP GET请求将Base64编码的命令添加到system参数从而在系统上执行任意命令,成功利用可能导致未授权访问敏感信息、修改系统配置或拒绝服务等。
影响范围:
DNS-320L版本1.11、版本1.03.0904.2013、版本1.01.0702.2013
DNS-325版本1.01
DNS-327L版本1.09,版本1.00.0409.2013
DNS-340L版本1.08
安全措施:
升级版本
目前官方已不再对这些D-Link NAS设备提供支持和维护,鉴于该漏洞的利用代码已公开,并且已发现被利用来部署恶意软件以进行僵尸网络攻击,且互联网上仍有大量在线暴露且未修复的D-Link NAS设备,受影响用户可应用官方提供的安全建议,及时停用或更换受影响产品。
参考链接:
https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383
临时措施:
不将受影响产品暴露在互联网上、使用最新的固件并经常更新设备的密码。
原文始发于微信公众号(飓风网络安全):【漏洞预警】D-Link NAS设备命令注入漏洞(CVE-2024-3273)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论