详细内容或原文请订阅后点击阅览
60,000 个 D-Link NAS 存储单元正在等待永远不会发布的更新
被遗忘的设备很容易成为网络犯罪分子的猎物。
来源:安全实验室新闻频道被遗忘的设备很容易成为网络犯罪分子的猎物。
超过 60,000 个已达到生命周期 (EoL) 终点的 D-Link 存储设备容易受到命令注入安全漏洞的影响。该漏洞的编号为 CVE-2024-10914,CVSS 严重评分为 9.2,是由于“cgi_user_add”命令中的 name 参数清理不充分造成的。
停产 命令注入 CVE-2024-10914,未经身份验证的攻击者可以利用此漏洞通过向设备发送特制的 HTTP 请求来执行任意命令。该漏洞影响小型企业中流行的多种 D-Link NAS 型号:DNS-320(版本 1.00)、DNS-320LW(版本 1.01.0914.2012)、DNS-325(版本 1.01 和 1.02)和 DNS-340L(版本 1.08)。
网络存储Netsecfish 的网络安全研究人员已发布有关如何利用此漏洞的详细信息。为此,您需要向 NAS 设备发送特殊的 HTTP 请求,并在名称参数中嵌入恶意命令。研究人员还提供了演示操作过程的示例 cURL 命令。
已发布在分析过程中,Netsecfish 在 41,097 个唯一 IP 地址中发现了超过 61,000 个易受攻击的 D-Link 设备。结果,所有这些设备上的大量数据因公共访问而面临风险。
在最近的安全公告中,D-Link 确认没有修复 CVE-2024-10914 的计划,并建议用户停用设备或限制其在互联网上的可见性。
安全公告 显示 CVE-2024-3273,