一名威胁研究人员披露了一个新的任意命令注入和硬编码后门漏洞，该漏洞存在于多个寿命终止的D-Link网络附加存储(NAS)设备模型中。

发现这个漏洞的研究人员Netsecfish解释说，这个问题存在于“/cgi-bin/nas_sharing.cgi”脚本中，影响了其HTTP GET请求处理程序组件。

导致该漏洞的两个主要问题，被追踪为CVE-2024-3273，是通过硬编码帐户(用户名:“messagebus”和空密码)实现的后门，以及通过“system”参数的命令注入问题。

当连接在一起时，任何攻击者都可以远程执行设备上的命令。命令注入缺陷源于通过HTTP GET请求将base64编码的命令添加到“system”参数，然后执行该请求。

研究人员警告说:“成功利用此漏洞可以允许攻击者在系统上执行任意命令，可能导致未经授权访问敏感信息，修改系统配置或拒绝服务条件。”

Netsecfish表示，网络扫描显示，超过92,000台易受攻击的D-Link NAS设备暴露在网络上，容易受到这些漏洞的攻击。在联系D-Link了解该漏洞以及是否会发布补丁后，供应商告诉我们，这些NAS设备已达到使用寿命(EOL)，不再支持。

该发言人表示:“所有D-Link网络连接存储设备的使用寿命和使用寿命都已经结束多年，与这些产品相关的资源已经停止开发，不再得到支持。”

该发言人还告诉BleepingComputer，受影响的设备没有自动在线更新功能，也没有客户服务功能来发送通知，就像目前的型号一样。D-Link已经为传统设备建立了一个专门的支持页面，用户可以在这里浏览档案，找到最新的安全和固件更新。

文章原文链接:https://www.anquanke.com/post/id/295352