黑客瞄準D-Link NAS設備中的嚴重漏洞CVE-2024-10914

在D-Link宣布不會修復其舊款NAS設備中存在的嚴重漏洞CVE-2024-10914(CVSS評分9.8)僅數日后，針對該“不予修復”問題的利用便已開始。

漏洞CVE-2024-10914是一個命令注入問題，影響了D-Link的DNS-320、DNS-320LW、DNS-325和DNS-340L設備(截至2024年10月28日的版本)。

根據安全公告，該漏洞允許通過cgi_user_add函數進行遠程操作系統命令注入。盡管利用此漏洞較為復雜，但由于已有公開的利用工具，因此仍有可能實現攻擊。

該漏洞存在于某些D-Link NAS設備的account_mgr.cgi URI中，具體源于CGI腳本cgi_user_add命令中name參數的處理方式。

Netsecfish發布的一篇帖子指出：“在某些D-Link NAS設備的account_mgr.cgi URI中發現了一個命令注入漏洞。具體而言，該漏洞存在于CGI腳本cgi_user_add命令中name參數的處理過程中。此漏洞允許未經身份驗證的攻擊者通過精心構造的HTTP GET請求注入任意shell命令，影響了互聯網上超過61,000臺設備。”

未經身份驗證的攻擊者可以利用此漏洞，通過精心構造的HTTP GET請求注入任意shell命令。

安全公告還指出：“在D-Link的DNS-320、DNS-320LW、DNS-325和DNS-340L設備(截至2024年10月28日的版本)中發現了一個被定為‘嚴重’等級的漏洞。受影響的文件是/cgi-bin/account_mgr.cgi?cmd=cgi_user_add中的cgi_user_add函數。對參數name的篡改會導致操作系統命令注入。攻擊可以遠程發起，但攻擊復雜度較高。盡管利用此漏洞看似困難，但已有公開的利用工具，可能會被利用。”

Shadowserver Foundation的研究人員觀察到，從11月12日開始，便有人嘗試利用CVE-2024-10914漏洞。專家們發現，約有1,100臺面向互聯網的設備可能受此問題影響，其中大部分位于英國、匈牙利和法國。