研究人員Netsecfish揭露存在於D-Link網路儲存設備(NAS)的漏洞CVE-2024-3273,影響DNS-340L、DNS-320L、DNS-327L、DNS-325等機種,CVSS風險評分為7.3,估計全球有92,589臺NAS曝險。這些設備還是因為直接連上網際網路而被找到,若將未連上網路的設備也納入,受影響範圍應該還會更大。

此漏洞存在於名為nas_sharing.cgi的URI,主要涵蓋2項弱點,其中一個是因為帳密寫死而形成的後門,另一個則是系統參數存在命令注入漏洞,上述弱點一旦遭到利用,攻擊者就有機會在NAS執行任意命令,從而存取敏感資訊、竄改系統配置,或是造成阻斷服務(DoS)。

值得留意的是,由於這些NAS設備的生命週期已經結束(EOL),D-Link表明將不會提供相關修補,並呼籲用戶應儘速淘汰這些設備

熱門新聞

Advertisement