网络安全专家近日披露了一项漏洞,指出多款已停止支持的D-Link网络附加存储(NAS)设备存在严重风险。该漏洞可以让攻击者注入任意命令或利用硬编码后门进行远程攻击。
研究人员Netsecfish解释说,这个问题存在于“/cgi-bin/nas_sharing.cgi”脚本中,并影响了HTTP GET请求处理程序组件。该漏洞被追踪编号为CVE-2024-3273,主要是通过添加base64编码的命令到系统中的“system”参数来实现的。如果成功利用这个漏洞,攻击者可以在系统上执行任意命令,这可能导致未经授权访问敏感信息、修改系统配置或拒绝服务情况。
受此影响的设备型号包括DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013, DNS-325 Version 1.01,DNS-327L Version 1.09, 版本号1 。08和DNS-340 L 版本 。8.
Netsecfish表示,在网络扫描中发现超过9.2万台易受攻击的 D-Link NAS 设备暴露在网上,这些设备很容易受到这些漏洞的影响。对此,D - Link公司随后表示这些 NAS 设备已达到使用寿命(EOL),不再处于支持状态。他们建议使用相关产品的用户退役这些产品,并选择可以接收固件更新的相关新产品。
请注意,以上内容是重新编写的版本,与原文有所不同但保留了主要观点和数据。
