安全專家近日披露了漏洞，表示多款已停止支持的 D-Link 網絡附加存儲(NAS)設備上存在嚴重漏洞，可以讓攻擊者注入任意命令或者實現硬編碼后門漏洞。

　　發現該漏洞的研究人員 Netsecfish 解釋說，該問題存在于“/cgi-bin/ nas_sharing.cgi”腳本中，影響了其 HTTP GET 請求處理程序組件。

　　該漏洞追蹤編號為 CVE-2024-3273，主要串聯通過“system”參數的命令注入問題，以及針對硬編碼賬戶(用戶名：“messagebus”和空密碼)的后門，可以在設備上執行遠程攻擊命令。

　　命令注入漏洞源于通過 HTTP GET 請求向“system”參數添加 base64 編碼的命令，然后執行該命令。

　　研究人員警告說：“成功利用這個漏洞可讓攻擊者在系統上執行任意命令，可能導致未經授權訪問敏感信息、修改系統配置或拒絕服務情況”。

　　IT之家附上受 CVE-2024-3273 影響的設備型號如下：

　　DNS-320L Version 1.11, Version 1.03.0904.2013, Version 1.01.0702.2013

　　DNS-325 Version 1.01

　　DNS-327L Version 1.09, Version 1.00.0409.2013

　　DNS-340L Version 1.08

　　Netsecfish 稱，網絡掃描顯示有超過 9.2 萬臺易受攻擊的 D-Link NAS 設備暴露在網上，很容易受到這些漏洞的攻擊。

　　D-Link 隨后表示這些 NAS 設備已達到使用壽命(EOL)，不再處于支持狀態。發言人表示：“受影響的所有 D-Link 網絡附加存儲產品都已達到報廢和使用年限，與這些產品相關的資源已停止開發，不再提供支持。”

　　該發言人還告訴 BleepingComputer，受影響的設備不具備自動在線更新功能，也不像當前機型那樣具有發送通知的客戶拓展功能。

　　D-Link 推薦使用上述設備的用戶退役相關產品，并選擇可以接收固件更新的相關新產品。