关键的NAS漏洞影响D-Link

D-Link NAS 设备安全漏洞警告

Key Takeaways

  • D-Link 网络附加存储(NAS)设备存在安全漏洞 CVE-2024-10914。
  • 漏洞可允许攻击者远程接管存储设备,并访问存储数据或用其入侵本地网络其他系统。
  • 受影响的设备包括 DNS-320、DNS-325 和 DNS-340L,CVSS 得分为 9.2,属于严重安全风险。
  • D-Link 已将这些设备列为过时硬件,建议用户尽快更换为新设备。

组织使用 D-Link 网络附加存储(NAS)硬件的情况需要特别关注,最近披露了一项安全漏洞。

该命令注入漏洞被称为
CVE-2024-10914,可能允许攻击者远程接管网络连接的存储设备,完全控制这些设备以访问存储数据,或者利用该设备作为跳板突破本地网络中的其他系统防护。

根据漏洞评估机构的评级,这一漏洞的 CVSS 分数为 9.2,标志着其为关键安全风险。受影响设备包括: – DNS-320 版本 1.00 –
DNS-320LW 版本 1.01.0914.2012 – DNS-325 版本 1.01 和 1.02 – DNS-340L 版本 1.08

根据 NetSecFish 的报告,发现并报告该漏洞的研究人员指出,该漏洞的根本原因在于某些 D-Link 设备处理通过 GET 命令发送的 CGI命令的方式。

“具体来说,漏洞存在于 CGI 脚本 cgi_user_add 命令所用的名称参数的处理上,”NetSecFish 解释道。

“该漏洞允许未经过身份验证的攻击者通过精心制作的 HTTP GET 请求注入任意 shell 命令,影响超过 61,000 台互联网上的设备。”

简而言之,攻击者可以向受到攻击的 NAS 设备发送一个包含任意命令的 GET请求作为“名称”参数,由于设备未能正确检查输入,该设备将执行这些指令,从而导致远程代码执行,或者一些人称之为“完全控制”。

幸运的是,
表示,尽管该漏洞可以被远程利用,实际上成功利用漏洞是相对困难的,这意味着简单的随机攻击尝试可能不会导致被完全控制。

更复杂的是,D-Link 认为这些受影响的设备已被视为过时的硬件。D-Link 已将这些设备列为停止服务或生命周期结束,并建议组织使用新款存储设备进行替换。

“D-Link 不时会决定某些产品已达到服务结束(EOS)或生命周期结束(EOL),”

“D-Link 可能由于技术演进、市场需求、创新和基于最新技术的效率等原因,选择将某些产品归类为 EOS/EOL,或者产品会随着时间的发展而逐渐成熟。”

对于仍依赖这些设备的组织而言,这无疑不会带来安慰,他们将不得不在迁移之前继续使用存在安全风险的硬件。NetSecFish 建议管理员最小化对 NAS硬件的网络访问,以限制可能的攻击范围。

Leave a Reply

Your email address will not be published. Required fields are marked *