一、漏洞详情
D-Link 网络存储(NAS)是中国友讯(D-link)公司的一款统一服务路由器。
近日,监测到多款D-Link网络附加存储 (NAS)设备型号中存在硬编码账户后门漏洞(CVE-2024-3272)和命令注入漏洞(CVE-2024-3273),目前这些漏洞的详情及PoC/EXP已公开,且已发现被利用。
D-Link DNS-320L、DNS-325、DNS-327L、DNS-340L等多个产品的/cgi-bin/nas_sharing.cgi脚本中存在硬编码后门漏洞(用户名messagebus,密码为空),以及可通过system参数导致命令注入漏洞,威胁者可组合利用这两个漏洞通过HTTP GET请求将Base64编码的命令添加到system参数从而在系统上执行任意命令,成功利用可能导致未授权访问敏感信息、修改系统配置或拒绝服务等。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
DNS-320L 版本1.11、版本1.03.0904.2013、版本1.01.0702.2013
DNS-325 版本1.01
DNS-327L 版本1.09,版本1.00.0409.2013
DNS-340L 版本1.08
三、修复建议
目前官方已不再对这些D-Link NAS设备提供支持和维护。受影响用户可应用官方提供的安全建议,及时停用或更换受影响产品。