一名威胁研究人员披露了一个新的任意命令注入和硬编码后门漏洞,该漏洞存在于多个寿命终止的D-Link网络附加存储(NAS)设备模型中。
发现这个漏洞的研究人员Netsecfish解释说,这个问题存在于“/cgi-bin/nas_sharing.cgi”脚本中,影响了其HTTP GET请求处理程序组件。
导致该漏洞的两个主要问题,被追踪为CVE-2024-3273,是通过硬编码帐户(用户名:“messagebus”和空密码)实现的后门,以及通过“system”参数的命令注入问题。
当连接在一起时,任何攻击者都可以远程执行设备上的命令。命令注入缺陷源于通过HTTP GET请求将base64编码的命令添加到“system”参数,然后执行该请求。
研究人员警告说:“成功利用此漏洞可以允许攻击者在系统上执行任意命令,可能导致未经授权访问敏感信息,修改系统配置或拒绝服务条件。”
Netsecfish表示,网络扫描显示,超过92,000台易受攻击的D-Link NAS设备暴露在网络上,容易受到这些漏洞的攻击。在联系D-Link了解该漏洞以及是否会发布补丁后,供应商告诉我们,这些NAS设备已达到使用寿命(EOL),不再支持。
该发言人表示:“所有D-Link网络连接存储设备的使用寿命和使用寿命都已经结束多年,与这些产品相关的资源已经停止开发,不再得到支持。”
该发言人还告诉BleepingComputer,受影响的设备没有自动在线更新功能,也没有客户服务功能来发送通知,就像目前的型号一样。D-Link已经为传统设备建立了一个专门的支持页面,用户可以在这里浏览档案,找到最新的安全和固件更新。
发表评论
您还未登录,请先登录。
登录