近日,网络安全研究机构Netsecfish发现了D-Link多款热门NAS设备中存在的一个严重漏洞,攻击者可以通过HTTP GET请求执行命令注入攻击。根据Netsecfish发布的信息,该漏洞出现在account_mgr.cgi脚本中,攻击者可在name参数中插入恶意代码来实施攻击。该问题已被列入美国国家漏洞数据库(NVD),编号为CVE-2024-10914,严重性评分高达9.2,被认定为“严重漏洞”。受影响的D-Link设备型号包括:DNS-320 Version 1.00、DNS-320LW Version 1.01.0914.2012、DNS-325 Version 1.01及1.02、以及DNS-340L Version 1.08。遗憾的是,D-Link宣布不会为此问题发布安全补丁。公司声明:“已达到生命周期终点(EOL)或服务终止(EOS)的产品将不再收到设备软件更新和安全补丁,D-Link不再为其提供支持。”上述受影响的NAS型号均在2020年已达到生命周期终点。D-Link美国建议用户将已达EOL/EOS的设备退役并更换为新型号。Netsecfish通过FOFA平台分析发现,全球共有61147台受影响的D-Link设备,其中41097个IP地址是唯一的。尽管NVD表示该漏洞的攻击复杂性较高、难以利用,但理论上任何具备技术能力的人都可能访问这些公开暴露的D-Link NAS设备。如果您正在使用这些受影响的NAS型号,强烈建议尽快更换为仍颗接收厂商补丁的NAS设备。如果暂时无法更换设备,Netsecfish建议限制对NAS设置菜单/界面的访问,仅允许受信任的IP地址访问。同时,建议将NAS与公共网络隔离,以确保只有授权用户能够与之交互。此外,用户也可以寻找支持受影响硬件的第三方固件或者NAS系统,但务必从可信来源下载。编辑:项汉秋·END·
