聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞的CVSS评分为9.2,位于 “cgi_user_add” 命令中,因该名称参数的清理不充分而导致。未认证攻击者可将特殊构造的HTTP GET 请求发送到设备,利用该漏洞注入任意 shell 命令。
该漏洞影响常被小企业使用的多款 D-Link NAS 设备:
-
DNS-320 版本1.00
-
DNS-320LW 版本 1.01.0914.2012
-
DNS-325 版本1.01、1.02
-
DNS-340L 版本 1.08
研究人员 Netsecfish 表示,利用该漏洞要求将“特殊构造的 HTTP GET 请求发送给NAS设备,其中名称参数中包含恶意输入”。
Curl "http://[Target-IP]/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27"
该研究员解释称,“该 curl 请求构建的URL,通过包含注入shell命令的名称参数,触发 cgi_user_add 命令。”
从FOFA平台上搜索易受该漏洞攻击的 D-Link 设备可看到,从41097个唯一IP地址返回61147个结果。D-Link 在安全公告中确认将不提供CVE-2024-10914的补丁,并建议用户弃用易受攻击的产品。如暂无法弃用,用户至少应当将其与公开互联网断开或将其置于更严格的访问条件下。
该研究员还在今年4月份发现了一个任意命令注入漏洞和硬编码后门漏洞CVE-2024-3273,影响的D-Link设备型号与CVE-2024-10914基本一样。当时FOFA扫描返回92589个结果。
D-Link 公司的一名发言人表示,该公司将不再制造NAS设备,受影响产品已到达生命周期且不再接受安全更新。
原文始发于微信公众号(代码卫士):D-Link 决定不修复这个严重漏洞,影响6万多台 NAS 设备
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论