最近在传统 D-Link NAS 设备中披露的 “不会修复 ”问题 CVE-2024-10914 在披露几天后就开始被利用。
在 D-Link 宣布不会修补传统 D-Link NAS 设备中的关键漏洞 CVE-2024-10914(CVSS 得分为 9.8)几天后,威胁行为者开始尝试利用该漏洞。
该漏洞 CVE-2024-10914 是一个命令注入问题,影响 D-Link DNS-320、DNS-320LW、DNS-325 和 DNS-340L 至 20241028。
该漏洞可通过 cgi_user_add 函数实现远程操作系统命令注入,根据该公告,漏洞利用非常复杂,但由于漏洞利用的公开性,利用是可能的。
该漏洞存在于某些 D-Link NAS 设备的 account_mgr.cgi URI 中。该漏洞源于对 CGI 脚本 cgi_user_add 命令中使用的名称参数的处理。
“在某些 D-Link NAS 设备的 account_mgr.cgi URI 中发现命令注入漏洞。具体地说,该漏洞存在于对 CGI 脚本 cgi_user_add 命令中使用的名称参数的处理中。该漏洞允许未经身份验证的攻击者通过伪造的 HTTP GET 请求注入任意 shell 命令,影响互联网上的 61,000 多台设备。”
未经身份验证的攻击者可以利用该漏洞,通过伪造的 HTTP GET 请求注入任意 shell 命令。
“在 D-Link DNS-320、DNS-320LW、DNS-325 和 DNS-340L 中发现了一个漏洞,最高影响级别为 20241028。该漏洞已被宣布为严重漏洞。受此漏洞影响的是 /cgi-bin/account_mgr.cgi?cmd=cgi_user_add 文件中的 cgi_user_add 函数。篡改参数名会导致 os 命令注入。攻击可远程发起。攻击的复杂程度相当高。漏洞利用似乎很困难。该漏洞已向公众公开,可能会被使用。”
Shadowserver 基金会的研究人员从 11 月 12 日开始观察到 CVE-2024-10914 的爆炸尝试。专家们观察到大约有 1100 台面向互联网的设备可能会受到这个问题的影响,其中大部分在英国、匈牙利和法国。
从 11 月 12 日开始,我们观察到 D-Link NAS CVE-2024-10914 /cgi-bin/account_mgr.cgi 命令注入利用尝试。该漏洞影响 EOL/EOS 设备,这些设备应从互联网上删除: https://t.co/o2BsBwkIlI
我们看到约 1100 个漏洞被暴露。https://t.co/0ZhIHSXqVZ pic.twitter.com/YB6c11LKU5
– 影子服务器基金会 (@Shadowserver) 2024 年 11 月 13 日