D-Link 解决关键 NAS 漏洞的方案：购买新硬件

安全研究人员 Netsecfish 发现了一个严重的命令注入漏洞，影响到数千台旧式 D-Link 网络附加存储 (NAS) 设备。该漏洞在国家漏洞数据库（NVD）中被追踪为 CVE-2024-10914，严重程度为 9.2 级，对仍在使用这些报废设备的用户构成重大风险。

该漏洞存在于 "cgi_user_add "命令功能中，特别是在 "name "参数中，该参数缺乏适当的输入消毒。这个漏洞之所以特别危险，是因为它可以在没有身份验证的情况下被利用，允许攻击者通过伪造的 HTTP GET 请求注入任意 shell 命令。

下面是 D-Link型号受此问题影响：

• D-Link DNS-320 版本 1.00
• D-Link DNS-320LW 版本 1.01.0914.2012
• D-Link DNS-325 版本 1.01 和 1.02
• D-Link DNS-340L 版本 1.08

Netsecfish 对受影响 NAS 型号的 FOFA 扫描显示了 61,147 个结果，其中有 41,097 个唯一 IP 地址。虽然 NVD 表明攻击复杂度很高，但如果暴露在公共互联网上，熟练的攻击者有可能利用这些易受攻击的设备。

遗憾的是，D-Link 表示不会发布补丁，理由是这些型号到 2020 年都已达到生命周期/服务终了（EOL/EOS）。在一份声明中，D-Link 建议用户淘汰或更换这些设备，因为不会再提供软件更新或安全补丁。

安全专家为无法立即更换受影响的D-Link NAS设备的用户列出了几项临时措施。首先，他们强烈建议将这些设备与公共互联网访问隔离，以尽量减少潜在攻击的风险。此外，企业应实施严格的访问控制措施，将设备访问限制在受信任的 IP 地址和授权用户范围内。对于那些寻求替代解决方案的人，专家建议探索第三方固件选项，但他们强调只能从可信和经过验证的来源获取此类固件的重要性。不过，这些措施应被视为临时解决方案，用户应尽快制定和执行更换这些易受攻击设备的计划。