D-Link 解决关键 NAS 漏洞的方案:购买新硬件
安全研究人员 Netsecfish 发现了一个严重的命令注入漏洞,影响到数千台旧式 D-Link 网络附加存储 (NAS) 设备。该漏洞在国家漏洞数据库(NVD)中被追踪为 CVE-2024-10914,严重程度为 9.2 级,对仍在使用这些报废设备的用户构成重大风险。
该漏洞存在于 "cgi_user_add "命令功能中,特别是在 "name "参数中,该参数缺乏适当的输入消毒。这个漏洞之所以特别危险,是因为它可以在没有身份验证的情况下被利用,允许攻击者通过伪造的 HTTP GET 请求注入任意 shell 命令。
下面是 D-Link型号受此问题影响:
- D-Link DNS-320 版本 1.00
- D-Link DNS-320LW 版本 1.01.0914.2012
- D-Link DNS-325 版本 1.01 和 1.02
- D-Link DNS-340L 版本 1.08
Netsecfish 对受影响 NAS 型号的 FOFA 扫描显示了 61,147 个结果,其中有 41,097 个唯一 IP 地址。虽然 NVD 表明攻击复杂度很高,但如果暴露在公共互联网上,熟练的攻击者有可能利用这些易受攻击的设备。
遗憾的是,D-Link 表示不会发布补丁,理由是这些型号到 2020 年都已达到生命周期/服务终了(EOL/EOS)。在一份声明中,D-Link 建议用户淘汰或更换这些设备,因为不会再提供软件更新或安全补丁。
安全专家为无法立即更换受影响的D-Link NAS设备的用户列出了几项临时措施。首先,他们强烈建议将这些设备与公共互联网访问隔离,以尽量减少潜在攻击的风险。此外,企业应实施严格的访问控制措施,将设备访问限制在受信任的 IP 地址和授权用户范围内。对于那些寻求替代解决方案的人,专家建议探索第三方固件选项,但他们强调只能从可信和经过验证的来源获取此类固件的重要性。不过,这些措施应被视为临时解决方案,用户应尽快制定和执行更换这些易受攻击设备的计划。
资料来源
» Notebookcheck多媒体笔记本电脑Top 10排名
» Notebookcheck游戏笔记本电脑Top 10排名
» Notebookcheck低价办公/商务笔记本电脑Top 10排名
» Notebookcheck高端办公/商务笔记本电脑Top 10排名
» Notebookcheck工作站笔记本电脑Top 10排名
» Notebookcheck亚笔记本电脑Top 10排名
» Notebookcheck超级本产品Top 10排名
» Notebookcheck变形本产品Top 10排名
» Notebookcheck平板电脑Top 10排名
» Notebookcheck智能手机Top 10排名
» Notebookcheck评测过最出色的笔记本电脑屏幕
» Notebookcheck售价500欧元以下笔记本电脑Top 10排名
» Notebookcheck售价300欧元以下笔记本电脑Top 10排名