关于D-Link NAS设备命令注入漏洞(CVE-2024-3273)的预警提示

发布者:jsut发布时间:2024-04-10浏览次数:669

一、漏洞详情

D-Link 网络存储(NAS)是中国友讯(D-link)公司的一款统一服务路由器。

近日,监测到多款D-Link网络附加存储 (NAS)设备型号中存在硬编码账户后门漏洞(CVE-2024-3272)和命令注入漏洞(CVE-2024-3273),目前这些漏洞的详情及PoC/EXP已公开,且已发现被利用。

D-Link DNS-320LDNS-325DNS-327LDNS-340L等多个产品的/cgi-bin/nas_sharing.cgi脚本中存在硬编码后门漏洞(用户名messagebus,密码为空),以及可通过system参数导致命令注入漏洞,威胁者可组合利用这两个漏洞通过HTTP GET请求将Base64编码的命令添加到system参数从而在系统上执行任意命令,成功利用可能导致未授权访问敏感信息、修改系统配置或拒绝服务等。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

DNS-320L 版本1.11、版本1.03.0904.2013、版本1.01.0702.2013

DNS-325 版本1.01

DNS-327L 版本1.09,版本1.00.0409.2013

DNS-340L 版本1.08

三、修复建议

目前官方已不再对这些D-Link NAS设备提供支持和维护。受影响用户可应用官方提供的安全建议,及时停用或更换受影响产品。