Notebookcheck Logo

D-Link 解决关键 NAS 漏洞的方案:购买新硬件

D-Link 并不急于修补关键 NAS 漏洞(图片来源:D-Link)
D-Link 并不急于修补关键 NAS 漏洞(图片来源:D-Link)
几个 D-Link NAS 设备中发现了一个关键的命令注入漏洞,由于缺乏身份验证保障措施,该漏洞构成了高安全风险。D-Link 拒绝为 2020 年达到报废年限的受影响型号发布安全补丁,而是建议用户完全更换设备。专家建议将这些设备与公共网络隔离,并实施严格的访问控制。
Fail NAS Security

安全研究人员 Netsecfish 发现了一个严重的命令注入漏洞,影响到数千台旧式 D-Link 网络附加存储 (NAS) 设备。该漏洞在国家漏洞数据库(NVD)中被追踪为 CVE-2024-10914,严重程度为 9.2 级,对仍在使用这些报废设备的用户构成重大风险。

该漏洞存在于 "cgi_user_add "命令功能中,特别是在 "name "参数中,该参数缺乏适当的输入消毒。这个漏洞之所以特别危险,是因为它可以在没有身份验证的情况下被利用,允许攻击者通过伪造的 HTTP GET 请求注入任意 shell 命令。

下面是 D-Link型号受此问题影响:

  • D-Link DNS-320 版本 1.00
  • D-Link DNS-320LW 版本 1.01.0914.2012
  • D-Link DNS-325 版本 1.01 和 1.02
  • D-Link DNS-340L 版本 1.08

Netsecfish 对受影响 NAS 型号的 FOFA 扫描显示了 61,147 个结果,其中有 41,097 个唯一 IP 地址。虽然 NVD 表明攻击复杂度很高,但如果暴露在公共互联网上,熟练的攻击者有可能利用这些易受攻击的设备。

遗憾的是,D-Link 表示不会发布补丁,理由是这些型号到 2020 年都已达到生命周期/服务终了(EOL/EOS)。在一份声明中,D-Link 建议用户淘汰或更换这些设备,因为不会再提供软件更新或安全补丁。

安全专家为无法立即更换受影响的D-Link NAS设备的用户列出了几项临时措施。首先,他们强烈建议将这些设备与公共互联网访问隔离,以尽量减少潜在攻击的风险。此外,企业应实施严格的访问控制措施,将设备访问限制在受信任的 IP 地址和授权用户范围内。对于那些寻求替代解决方案的人,专家建议探索第三方固件选项,但他们强调只能从可信和经过验证的来源获取此类固件的重要性。不过,这些措施应被视为临时解决方案,用户应尽快制定和执行更换这些易受攻击设备的计划。

资料来源

Please share our article, every link counts!
> Notebookcheck中文版(NBC中国) > 新闻 > 新闻档案 > 新闻档案 2024 11 > D-Link 解决关键 NAS 漏洞的方案:购买新硬件
Andrew Sozinov, 2024-11-10 (Update: 2024-11-10)