严重缺陷导致 92,000 台 D-Link NAS 设备容易受到恶意软件攻击

报告2024年4月9日新闻中心僵尸网络/漏洞

威胁行为者正在积极扫描和利用两个安全漏洞，据称这些漏洞会影响多达 92,000 个暴露在互联网上的 D-Link 网络附加存储 (NAS) 设备。

追踪为 CVE-2024-3272 （CVSS 分数：9.8）和 CVE-2024-3273 （CVSS 评分：7.3），漏洞影响 传统 D-Link 产品 已达到使用寿命 (EoL) 状态。 D-Link，在 咨询，表示不打算发布补丁，而是敦促客户更换补丁。

“该漏洞存在于 nas_sharing.cgi uri 中，该 uri 容易受到两个主要问题的影响：硬编码凭证促成的后门，以及通过系统参数的命令注入漏洞”，安全研究员 netsecfish 说道。 说 2024 年 3 月下旬。

成功利用这些缺陷可能会导致在受影响的 D-Link NAS 设备上执行任意命令，从而使威胁参与者能够访问敏感信息、更改系统配置，甚至触发拒绝服务 (DoS) 条件。

这些问题影响以下型号 –

• DNS-320L
• DNS-325
• DNS-327L，和
• DNS-340L

威胁情报公司 GreyNoise 说 它观察到攻击者 尝试 将这些缺陷武器化以传播 Mirai 僵尸网络恶意软件，从而使远程控制 D-Link 设备成为可能。

在没有修复的情况下，Shadowserver 基金会正在 推荐 用户要么使这些设备脱机，要么远程访问受防火墙保护的设备，以减轻潜在威胁。

研究结果再次表明，Mirai 僵尸网络正在不断适应新漏洞并将其纳入其库中，威胁行为者迅速开发新变体，旨在滥用这些问题来破坏尽可能多的设备。

随着网络设备成为经济动机和民族国家相关攻击者的常见目标，Palo Alto Networks Unit 42 透露，威胁行为者越来越多地转向恶意软件发起的扫描攻击，以标记目标网络中的漏洞。

“一些扫描攻击源自良性网络，可能是由受感染机器上的恶意软件驱动的，”该公司 说。

“通过从受感染的主机发起扫描攻击，攻击者可以完成以下任务：掩盖他们的踪迹，绕过地理围栏，扩大僵尸网络， [and] 与仅使用自己的设备相比，利用这些受感染设备的资源来生成更多的扫描请求。”