D-Link NAS 设备安全漏洞警告

Key Takeaways

组织使用 D-Link 网络附加存储（NAS）硬件的情况需要特别关注，最近披露了一项安全漏洞。

该命令注入漏洞被称为
CVE-2024-10914，可能允许攻击者远程接管网络连接的存储设备，完全控制这些设备以访问存储数据，或者利用该设备作为跳板突破本地网络中的其他系统防护。

根据漏洞评估机构的评级，这一漏洞的 CVSS 分数为 9.2，标志着其为关键安全风险。受影响设备包括： – DNS-320 版本 1.00 –
DNS-320LW 版本 1.01.0914.2012 – DNS-325 版本 1.01 和 1.02 – DNS-340L 版本 1.08

根据 NetSecFish 的报告，发现并报告该漏洞的研究人员指出，该漏洞的根本原因在于某些 D-Link 设备处理通过 GET 命令发送的 CGI命令的方式。

“具体来说，漏洞存在于 CGI 脚本 cgi_user_add 命令所用的名称参数的处理上，”NetSecFish 解释道。
“该漏洞允许未经过身份验证的攻击者通过精心制作的 HTTP GET 请求注入任意 shell 命令，影响超过 61,000 台互联网上的设备。”

简而言之，攻击者可以向受到攻击的 NAS 设备发送一个包含任意命令的 GET请求作为“名称”参数，由于设备未能正确检查输入，该设备将执行这些指令，从而导致远程代码执行，或者一些人称之为“完全控制”。

幸运的是，
表示，尽管该漏洞可以被远程利用，实际上成功利用漏洞是相对困难的，这意味着简单的随机攻击尝试可能不会导致被完全控制。

更复杂的是，D-Link 认为这些受影响的设备已被视为过时的硬件。D-Link 已将这些设备列为停止服务或生命周期结束，并建议组织使用新款存储设备进行替换。

“D-Link 不时会决定某些产品已达到服务结束（EOS）或生命周期结束（EOL），”
“D-Link 可能由于技术演进、市场需求、创新和基于最新技术的效率等原因，选择将某些产品归类为 EOS/EOL，或者产品会随着时间的发展而逐渐成熟。”

对于仍依赖这些设备的组织而言，这无疑不会带来安慰，他们将不得不在迁移之前继续使用存在安全风险的硬件。NetSecFish 建议管理员最小化对 NAS硬件的网络访问，以限制可能的攻击范围。