近日外媒報導,多款已停止維護的 D-Link NAS 裝置存在任意命令注入和硬編碼後門漏洞。
研究人員表示,漏洞存在於 nas_sharing.cgi uri 中,主要因為兩個原因:一是存在硬編碼的憑證所造成的後門,二是系統參數存在命令注入漏洞。
該「後門」帳號的使用者名稱為 messagebus,且不需密碼。
研究人員指出,request 中的系統參數包含 base64 編碼的值,解碼後即為指令。攻擊者只需發送經特殊設計的惡意 HTTP 請求到 /cgi-bin/nas_sharing.cgi 端點,即可觸發此漏洞。
成功利用此漏洞的攻擊者可在受影響的裝置上執行任意命令,代表惡意行為者可以讀取儲存在NAS裝置的敏感資訊,並修改系統組態。
受 CVE-2024-3273 影響的裝置型號包括:
- DNS-320L 1.11、1.03.0904.2013、1.01.0702.2013 版本
- DNS-325 1.01 版本
- DNS-327L 1.09、1.00.0409.2013 版本
- DNS-340L 1.08 版本
這些型號已經停止維護多年。但這些 NAS 仍有大量在使用,研究人員發現有超過 92000 台曝露在網際網路上。
無法提供修補程式
D-Link 表示,對於這個漏洞將不會提供修補程式。所有 D-Link NAS產品已停止維護與服務多年,這些產品相關的資源已停止開發,不再提供支援。
D-Link 建議使用者退役並更換這些已達 EOL/EOS 的裝置。如果使用者仍要繼續使用,請確保安裝最後一個韌體版本(可在 Legacy Website 上找到),並經常更新裝置的管理密碼,同時啟用 WIFI 加密並設置唯一密碼。
NAS 裝置也不應該暴露在網際網路上,因為它們常被用來盜取資料或在勒索軟體攻擊中被加密。
本文轉載自helpnetsecurity、bleepingcomputer。