最近在传统 D-Link NAS 设备中披露的 “不会修复 ”问题 CVE-2024-10914 在披露几天后就开始被利用。

在 D-Link 宣布不会修补传统 D-Link NAS 设备中的关键漏洞 CVE-2024-10914（CVSS 得分为 9.8）几天后，威胁行为者开始尝试利用该漏洞。

该漏洞 CVE-2024-10914 是一个命令注入问题，影响 D-Link DNS-320、DNS-320LW、DNS-325 和 DNS-340L 至 20241028。

该漏洞可通过 cgi_user_add 函数实现远程操作系统命令注入，根据该公告，漏洞利用非常复杂，但由于漏洞利用的公开性，利用是可能的。

该漏洞存在于某些 D-Link NAS 设备的 account_mgr.cgi URI 中。该漏洞源于对 CGI 脚本 cgi_user_add 命令中使用的名称参数的处理。

“在某些 D-Link NAS 设备的 account_mgr.cgi URI 中发现命令注入漏洞。具体地说，该漏洞存在于对 CGI 脚本 cgi_user_add 命令中使用的名称参数的处理中。该漏洞允许未经身份验证的攻击者通过伪造的 HTTP GET 请求注入任意 shell 命令，影响互联网上的 61,000 多台设备。”

未经身份验证的攻击者可以利用该漏洞，通过伪造的 HTTP GET 请求注入任意 shell 命令。

“在 D-Link DNS-320、DNS-320LW、DNS-325 和 DNS-340L 中发现了一个漏洞，最高影响级别为 20241028。该漏洞已被宣布为严重漏洞。受此漏洞影响的是 /cgi-bin/account_mgr.cgi?cmd=cgi_user_add 文件中的 cgi_user_add 函数。篡改参数名会导致 os 命令注入。攻击可远程发起。攻击的复杂程度相当高。漏洞利用似乎很困难。该漏洞已向公众公开，可能会被使用。”

Shadowserver 基金会的研究人员从 11 月 12 日开始观察到 CVE-2024-10914 的爆炸尝试。专家们观察到大约有 1100 台面向互联网的设备可能会受到这个问题的影响，其中大部分在英国、匈牙利和法国。

从 11 月 12 日开始，我们观察到 D-Link NAS CVE-2024-10914 /cgi-bin/account_mgr.cgi 命令注入利用尝试。该漏洞影响 EOL/EOS 设备，这些设备应从互联网上删除： https://t.co/o2BsBwkIlI

我们看到约 1100 个漏洞被暴露。https://t.co/0ZhIHSXqVZ pic.twitter.com/YB6c11LKU5

– 影子服务器基金会 (@Shadowserver) 2024 年 11 月 13 日