安全研究人员 Netsecfish 发现了一个严重的命令注入漏洞,该漏洞影响了数千台较旧的 D-Link 网络连接存储 (NAS) 设备。该漏洞在美国国家漏洞数据库 (NVD) 中被跟踪为 CVE-2024-10914.严重性评分为 9.2.对仍在依赖这些报废设备的用户构成重大风险。
该漏洞存在于“cgi_user_add”命令功能中,特别是在“name”参数中,该参数缺乏适当的输入清理。使此缺陷特别危险的是,它可以在没有身份验证的情况下被利用,允许攻击者通过构建的 HTTP GET 请求注入任意 shell 命令。
以下 D-Link 型号受此问题影响:
D-Link DNS-320 版本 1.00
D-Link DNS-320LW 版本 1.01.0914.2012
D-Link DNS-325 版本 1.01 和 1.02
D-Link DNS-340L 版本 1.08
Netsecfish 对受影响的 NAS 型号进行 FOFA 扫描,显示 61.147 个结果和 41.097 个唯一 IP 地址。尽管 NVD 表明攻击复杂性很高,但如果暴露在公共互联网上,熟练的攻击者可能会利用这些易受攻击的设备。
但是,D-Link 表示不会发布补丁,理由是这些型号在 2020 年都已达到使用寿命终止/服务终止 (EOL/EOS)。在一份声明中,D-Link 建议用户停用或更换这些设备,因为不会提供进一步的软件更新或安全补丁。
安全专家为无法立即更换受影响的 D-Link NAS 设备的用户概述了几种临时措施。首先,他们强烈建议将这些设备与公共互联网访问隔离开来,以最大限度地减少潜在攻击的风险。此外,组织应实施严格的访问控制措施,将设备访问限制为仅受信任的 IP 地址和授权用户。对于那些寻求替代解决方案的人,专家建议探索第三方固件选项,尽管他们强调仅从可信和经过验证的来源获取此类固件的重要性。但是,这些措施应被视为临时解决方案,并敦促用户尽快制定并执行更换这些易受攻击设备的计划。
