D-Link NAS 设备中发现了一个新发现的命令注入漏洞,影响了全球约 61,000 台设备。
此漏洞使未经身份验证的攻击者能够通过利用设备 CGI 脚本中的特定参数远程执行任意 shell 命令,从而造成数据泄露和勒索软件的严重风险。
该漏洞存在于 account_mgr.cgi URI 中,允许远程攻击者利用 cgi_user_add 命令中的 name 参数,绕过身份验证并注入有害的 shell 命令。
研究人员NetSecFish通过技术分析发现了此漏洞,他研究了在未进行充分输入清理的情况下如何处理 name 参数。
通过制作恶意 HTTP GET 请求,攻击者可以操纵此参数以在受影响的设备上执行任意命令。
例如,一个示例 cURL 命令突出显示了攻击者如何通过将 [Target-IP] 替换为目标的 IP 地址,将命令直接注入 NAS 系统,从而获得系统级访问权限。
受影响的设备
该漏洞的编号为CVE-2024-10914,影响了 D-Link 的几款 NAS 型号。
D-Link 现已停产其 NAS 产品线,导致这些设备得不到持续支持或安全补丁。受影响的型号包括:
-
DNS-320(版本 1.00)
-
DNS-320LW(版本 1.01.0914.2012)
-
DNS-325(版本 1.01 和 1.02)
-
DNS-340L(版本 1.08)
这些模型通常用于家庭和小型企业环境中,以集中数据存储并促进网络数据共享,由于它们暴露在互联网上,因此特别容易受到远程攻击。
对于熟练的攻击者来说,利用此漏洞非常简单,只需要一个精心设计的 URL 即可传递命令注入负载。
将这些设备连接到互联网后,威胁行为者可以利用此漏洞获得未经授权的访问、执行任意命令,并可能危及整个系统。
此漏洞使存储在 NAS 设备上的数据面临风险,网络犯罪分子可以使用命令注入来部署勒索软件、窃取敏感信息,甚至完全删除存储的文件。
D-Link NAS 风险
此前曾有报道称 D-Link NAS 设备中存在另一个严重的命令注入漏洞 (CVE-2024-3273),超过92,000 台设备受到影响。
该漏洞涉及 D-Link NAS 设备中的类似命令注入问题,由于这些设备已停产,制造商同样不再提供支持。
此次漏洞披露后不久,有报道证实该漏洞正在野外被积极利用,黑客在地下论坛上分享易受攻击的 IP 列表,以促进更广泛的攻击。
由于风险较高且D-Link已停止对NAS支持,建议受影响型号的用户立即采取防御措施:
-
淘汰易受攻击的设备或用受支持的安全替代品替换它们。
-
将 NAS 设备与面向互联网的网络隔离,以防止未经授权的访问。
-
实施严格的防火墙规则来限制对 NAS 设备的访问。
-
定期监控访问日志中是否存在异常活动,并对任何未经授权的尝试发出警报。
-
考虑将第三方固件作为临时措施,但请注意,D-Link 不认可或支持此类固件。
D-Link 已经发布了一份安全公告:
https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10413
EOL/EOS 型号(包括受影响的型号)
确认不会发布安全更新,同时列出了更多用户应该更换的设备型号。
原文始发于微信公众号(网络研究观):61,000 台 EoL D-Link NAS 设备易受命令注入攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论