使用 D-Link 网络附加存储 (NAS) 硬件的组织应在安全漏洞披露后检查其设备。
名为 CVE-2024-10914 的命令注入缺陷可能允许攻击者远程劫持网络连接的存储盒,并完全控制以访问存储的数据或使用设备作为跳板闯入本地网络上的其他系统。
该漏洞的 CVSS 评分为 9.2.将其标记为严重安全风险。受影响的设备包括 DNS-320 版本 1.00、DNS-320LW 版本 1.01.0914.2012、DNS-325 版本 1.01、版本 1.02 和 DNS-340L 版本 1.08.
根据发现并报告该漏洞的研究人员 NetSecFish 的说法,该漏洞归结为某些 D-Link 设备处理通过 GET 命令发送的 CGI 命令的方式。
“具体来说,漏洞存在于处理 CGI 脚本cgi_user_add命令中使用的 name 参数时,”NetSecFish 解释说。
“此漏洞允许未经身份验证的攻击者通过构建的 HTTP GET 请求注入任意 shell 命令,从而影响 Internet 上超过 61000 台设备。”
简而言之,威胁行为者可以向易受攻击的 NAS 设备发送一个 GET 命令,其中包括任意命令作为“name”参数的一部分,如果无法正确检查输入,设备将执行这些指令,从而导致远程代码执行,或者正如有些人喜欢说的那样“完全 pwnage”。
幸运的是,NIST 表示,虽然该漏洞可以被远程定位,但实际上很难成功利用,这意味着简单的路过式漏洞利用尝试可能不会导致上述漏洞。
更复杂的是,D-Link 都认为易受攻击的设备都是过时的硬件。D-Link 将易受攻击的单元列为服务终止或生命周期终止,并建议组织逐步淘汰它们,转而使用 D-Link 销售的新存储单元。
“D-Link 有时会决定其某些产品已达到支持终止 (”EOS“) 或生命周期终止 (”EOL“),”供应商表示。
“由于技术发展、市场需求、创新和基于最新技术的效率,D-Link 可能会选择使用 EOS/EOL 作为产品,或者该产品可能会随着时间的推移而成熟。”
对于仍然依赖这些设备的组织来说,这可能不会让人感到安慰,从现在到迁移之间,他们将不得不使用易受攻击的硬件。NetSecFish 建议管理员尽量减少对 NAS 硬件的网络访问,以限制可能的攻击范围。
