據(jù)有關(guān)安全專家透露，一系列已經(jīng)停產(chǎn)的D-Link網(wǎng)絡(luò)附屬儲存（NAS）設(shè)備存在嚴重安全隱患，使攻擊者能輕松實現(xiàn)命令注入或創(chuàng)建硬盤后門。

漏洞位于“/cgi-bin/nas_sharing.

該問題源于URL處理軟件中的CGI腳本段“/cgi-bin/ nas_sharing. CGI”，其對HTTPGET請求的處理過程存在漏洞。該漏洞以CVE-2024-3273作為識別號，其方式包括以”system“參數(shù)進行的命令注入，及針對固定賬號（用戶名： ”messagebus“，密碼：空）的后門，從而允許遠程攻擊指令被下達至設(shè)備。

此漏洞源于通過HTTPGET請求向”system“參數(shù)插入base64編碼的命令進而執(zhí)行。研究人員警醒道，此類攻擊成功實施將允許攻擊者在設(shè)備上執(zhí)行任意命令，可能導致未授權(quán)訪問敏感信息、系統(tǒng)配置更改或服務癱瘓等事項發(fā)生。

受CVE-2024-3273影響的設(shè)備包括：

DNS-320L Version 1.11，Version 1.03.0904.2013，Version 1.01.0702.2013

DNS-325 Version 1.01

DNS-327L Version 1.09， Version 1.00.0409.2013

DNS-340L Version 1.08

根據(jù)網(wǎng)絡(luò)掃描結(jié)果，至少超過9.2萬個易被攻擊的D-Link NAS設(shè)備投入到實際應用中，極易遭受此類漏洞的威脅。

D-Link公司回應指出這些設(shè)備已因使用壽命到期而停機，不再享受官方技術(shù)支持。聲明人表示：“所有涉及的D-Link網(wǎng)絡(luò)附加儲存設(shè)備均已達到或超過預期使用壽命，與之相關(guān)的技術(shù)資源不再進行維護與支持。同時，”

該聲明人還進一步坦白，受影響的設(shè)備無法如現(xiàn)有型號般自動更新，亦缺乏客戶拓展功能以發(fā)送提醒郵件。

因此，他強烈建議用戶盡快更換這些設(shè)備，選擇具有固件自動更新功能的新型態(tài)貨品。