近日,安全研究人员发现多款D-Link NAS设备存在严重安全漏洞,涉及型号包括DNS-340L、DNS-320L、DNS-327L和DNS-325等。此漏洞位于nas_sharing.cgi URI中,主要由两个问题导致:一是通过硬编码凭证设立的后门,二是通过system参数的命令注入漏洞。
攻击者可利用此漏洞在受影响的D-Link NAS设备上执行任意命令,可能导致敏感信息泄露、系统配置更改或服务拒绝,影响互联网上超过92,000台设备。
漏洞具体涉及CWE-77(命令注入)和CWE-798(使用硬编码凭证)。攻击者可通过准备针对/cgi-bin/nas_sharing.cgi端点的HTTP GET请求来进行恶意攻击。成功利用该漏洞可能导致未经授权的信息访问、系统配置修改或服务拒绝状态。
目前,尚无详细描述、官方网站或相关主题提供。这一发现再次提醒我们,网络安全的重要性不容忽视,特别是在物联网设备日益普及的今天。用户和企业都应采取积极措施,定期更新设备固件,使用复杂密码,并关注最新的安全动态,以保护自己免受此类安全威胁的侵害。