CVE-2024-10914 (CVSS 9.2): 命令注入漏洞威胁61,000多台D-Link NAS设备

阅读量53802

发布时间 : 2024-11-08 11:29:04

x
译文声明

本文是翻译文章,文章原作者 do son,文章来源:securityonline

原文地址:https://securityonline.info/cve-2024-10914-cvss-9-2-command-injection-flaw-threatens-61000-d-link-nas-devices/

译文仅供参考,具体内容表达以及含义原文为准。

CVE-2024-10914

在 D-Link NAS 设备中发现一个关键漏洞(CVE-2024-10914),对全球 61,000 多个系统构成严重威胁。该漏洞是 `account_mgr.cgi` 脚本中的命令注入漏洞,允许远程攻击者通过特制的 HTTP GET 请求执行任意命令。此问题影响多个 D-Link NAS 型号,包括 DNS-320、DNS-320LW、DNS-325 和 DNS-340L,CVSSv4 得分为 9.2,表明严重程度较高。

该漏洞主要影响 `account_mgr.cgi` 脚本的 `cgi_user_add` 命令中的 `name` 参数。由于输入消毒不充分,注入`name`参数的恶意命令可导致未经授权的命令执行。正如 NETSECFISH 所强调的,“这个漏洞允许未经身份验证的攻击者通过伪造的 HTTP GET 请求注入任意 shell 命令”,使攻击者无需身份验证即可访问。

受影响的设备

  • DNS-320 – 版本 1.00
  • DNS-320LW – 版本 1.01.0914.2012
  • DNS-325 – 版本 1.01 和 1.02
  • DNS-340L – 版本 1.08

这些型号通常用于个人和小型企业的数据存储,这意味着敏感信息可能会受到攻击。

攻击者可通过向 NAS 设备的 IP 地址发送特制 HTTP GET 请求来利用 CVE-2024-10914。以下示例演示了使用 `curl` 命令进行利用:

curl "http://[Target-IP]/cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27" 

此命令会向`name`参数注入 shell 命令,从而在目标设备上触发意外执行。该命令注入漏洞被归类为 CWE-77,它使用户面临潜在的未授权访问、数据篡改,甚至在受影响设备上部署恶意软件。

为缓解这一漏洞,NETSECFISH 建议立即采取以下几个步骤:

  • 应用补丁和更新: 用户应下载并安装 D-Link 提供的任何固件更新。
  • 限制网络访问: 作为临时措施,对 NAS 管理界面的网络访问应仅限于受信任的 IP 地址。
  • 监控固件更新: 受影响的设备用户应密切关注 D-Link 即将提供的任何安全补丁。
本文翻译自securityonline 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66