近期，威胁研究人员披露了多个报废 D-Link 网络附加存储 (NAS) 设备型号中存在新的任意命令注入和硬编码后门缺陷。

发现该缺陷的研究人员“Netsecfish” 解释说 ，该问题存在于“/cgi-bin/nas_sharing.cgi”脚本中，影响其 HTTP GET 请求处理程序组件。

导致该缺陷的两个主要问题（编号为 CVE-2024-3273）是通过硬编码帐户（用户名：“messagebus”和空密码）促成的后门以及通过“system”参数的命令注入问题。

当链接在一起时，任何攻击者都可以在设备上远程执行命令。

命令注入缺陷是由于通过 HTTP GET 请求将 Base64 编码的命令添加到“system”参数，然后执行该命令而引起的。

恶意请求示例 

研究人员警告说：“成功利用此漏洞可能允许攻击者在系统上执行任意命令，从而可能导致未经授权访问敏感信息、修改系统配置或拒绝服务条件。”

受 CVE-2024-3273 影响的设备型号包括：

·DNS-320L 版本 1.11、版本 1.03.0904.2013、版本 1.01.0702.2013

·DNS-325 版本 1.01

·DNS-327L 版本 1.09，版本 1.00.0409.2013

·DNS-340L 版本 1.08

网络扫描显示超过 92000 个易受攻击的 D-Link NAS 设备在线暴露，容易受到这些缺陷的攻击。

互联网扫描结果

没有可用的补丁

在联系 D-Link 询问该缺陷以及是否会发布补丁后，供应商表示 NAS 设备已达到使用寿命 (EOL)，不再受支持。所有 D-Link 网络附加存储的生命周期和服务寿命已终止多年，并且与这些产品相关的资源已停止开发且不再受到支持。与此同时，D-Link 建议淘汰这些产品，并用接收固件更新的产品替换它们。

受影响的设备不像当前型号那样具备自动在线更新功能或客户外展功能来发送通知。不久，供应商发布安全公告，以提高人们对该缺陷立即淘汰或更换这些设备的必要性认识。

D-Link为旧设备建立了专门的支持页面 ，用户可以在其中浏览档案以查找最新的安全和固件更新。

即使这些更新不能解决新发现的问题（例如 CVE-2024-3273），那些坚持使用过时硬件的用户也应该应用最新的可用更新。

此外，NAS 设备不应该暴露在互联网上，因为它们通常是勒索软件攻击中窃取数据或加密的目标。

参考及来源：https://www.bleepingcomputer.com/news/security/over-92-000-exposed-d-link-nas-devices-have-a-backdoor-account/