轉載「D-Link停止支援的老舊NAS設備存在重大漏洞，至少有6.1萬臺曝露在網際網路」訊息

 D-Link停止支援的老舊NAS設備存在重大漏洞，至少有6.1萬臺曝露在網際網路

資安研究員Netsecfish上週末揭露D-Link有4款NAS機型存在資安漏洞，這個編號為CVE-2024-10914的弱點屬於命令注入漏洞，此事也得到D-Link證實，但由於設備的生命週期已經結束，他們不會進行修補。

 研究人員Netsecfish於D-Link旗下部分型號的網路儲存設備（NAS）發現重大層級的CVE-2024-10914，此為命令注入漏洞，存在於NAS設備名為account_mgr.cgi的URI，發生在CGI指令碼cgi_user_add處理name參數的過程，未經身分驗證的攻擊者有機會利用偽造的HTTP GET請求，藉由漏洞注入任意的Shell命令，估計全球約有6.1萬臺設備曝險。

 這項漏洞影響DNS-320、DNS-320LW、DNS-325，以及DNS-340L等4款機種，根據漏洞資料庫VulDB的評估，此漏洞的4.0版CVSS風險評分為9.2（滿分10分）。

 研究人員也進一步說明攻擊者如何利用這個漏洞，他們可對NAS發送特製的HTTP GET請求，並將惡意輸入的內容挾帶於name參數當中，這麼一來，就會觸發帶有name參數的cgi_user_add命令，並在設備注入Shell命令。

 針對該漏洞曝險的情況，Netsecfish透過物聯網搜尋引擎FOFA進行調查，結果從41,097個IP位址當中，找到61,147臺設備，其中英國有10,381臺最多，義大利、德國、俄羅斯居次，分別有5,835臺、4,877臺、3,936臺。

對此，11月8日D-Link發布資安公告證實上述漏洞，但也表明這些設備的產品支援狀態皆為生命週期結束（EOL）或是服務週期終止（EOS），該公司將不予處理，呼籲用戶儘速汰換設備。

 

【資安新聞-iThome】

D-Link停止支援的老舊NAS設備存在重大漏洞，至少有6.1萬臺曝露在網際網路

詳細資訊請參考：https://www.ithome.com.tw/news/165945