0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看威廉希尔官方网站 视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

D-Link NAS设备存在严重漏洞,易受攻击者注入任意命令攻击

微云疏影 来源:综合整理 作者:综合整理 2024-04-08 10:28 次阅读

据有关安全专家透露,一系列已经停产的D-Link网络附属储存(NAS)设备存在严重安全隐患,使攻击者能轻松实现命令注入或创建硬盘后门。

漏洞位于“/cgi-bin/nas_sharing.

该问题源于URL处理软件中的CGI脚本段“/cgi-bin/ nas_sharing. CGI”,其对HTTPGET请求的处理过程存在漏洞。该漏洞以CVE-2024-3273作为识别号,其方式包括以”system“参数进行的命令注入,及针对固定账号(用户名: ”messagebus“,密码:空)的后门,从而允许远程攻击指令被下达至设备。

此漏洞源于通过HTTPGET请求向”system“参数插入base64编码的命令进而执行。研究人员警醒道,此类攻击成功实施将允许攻击者在设备上执行任意命令,可能导致未授权访问敏感信息、系统配置更改或服务瘫痪等事项发生。

受CVE-2024-3273影响的设备包括:

DNS-320L Version 1.11,Version 1.03.0904.2013,Version 1.01.0702.2013

DNS-325 Version 1.01

DNS-327L Version 1.09, Version 1.00.0409.2013

DNS-340L Version 1.08

根据网络扫描结果,至少超过9.2万个易被攻击的D-Link NAS设备投入到实际应用中,极易遭受此类漏洞的威胁。

D-Link公司回应指出这些设备已因使用寿命到期而停机,不再享受官方威廉希尔官方网站 支持。声明人表示:“所有涉及的D-Link网络附加储存设备均已达到或超过预期使用寿命,与之相关的威廉希尔官方网站 资源不再进行维护与支持。同时,”

该声明人还进一步坦白,受影响的设备无法如现有型号般自动更新,亦缺乏客户拓展功能以发送提醒邮件。

因此,他强烈建议用户尽快更换这些设备,选择具有固件自动更新功能的新型态货品。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • URL
    URL
    +关注

    关注

    0

    文章

    139

    浏览量

    15328
  • 漏洞
    +关注

    关注

    0

    文章

    204

    浏览量

    15368
  • CGI
    CGI
    +关注

    关注

    0

    文章

    20

    浏览量

    10352
  • 脚本
    +关注

    关注

    1

    文章

    389

    浏览量

    14858
收藏 人收藏

    评论

    相关推荐

    网络攻击中常见的掩盖真实IP的攻击方式

    在各类网络攻击中,掩盖真实IP进行攻击是常见的手段,因为攻击者会通过这样的手段来逃脱追踪和法律监管。我们需要对这类攻击做出判断,进而做出有效有力的防范措施。 虚假IP地址的替换 首先,
    的头像 发表于 12-12 10:24 84次阅读

    IP定位威廉希尔官方网站 追踪网络攻击源的方法

    线索我们可以一路追查,最终定位到攻击源头。 IP定位威廉希尔官方网站 的工作流程 数据收集 通过网络安全设备,例如入侵检测系统IDS/IPS的实时监测与分析,我们能够捕获到流经网络的大量流量数据。这些数据中隐藏着攻击者的蛛丝马迹。同时,利用专
    的头像 发表于 08-29 16:14 405次阅读

    IP 地址在 SQL 注入攻击中的作用及防范策略

    SQL 注入是通过将恶意的 SQL 代码插入到输入参数中,欺骗应用程序执行这些恶意代码,从而实现对数据库的非法操作。例如,在一个登录表单中,如果输入的用户名被直接拼接到 SQL 查询语句中,而没有进行适当的过滤和验证,攻击者就可以输入特定的字符串
    的头像 发表于 08-05 17:36 300次阅读

    如何保护SCADA免受网络攻击

    随着信息威廉希尔官方网站 的飞速发展,数据采集与监视控制(SCADA)系统在工业控制领域中的应用越来越广泛。然而,由于其重要性日益凸显,SCADA系统也成为了网络攻击者的重点目标。为了保护SCADA系统免受网络攻击,需要采取一系列的安全措施和威廉希尔官方网站 手段。本文将从多个方面探讨如何保护SCA
    的头像 发表于 06-07 15:20 478次阅读

    Git发布新版本 修补五处安全漏洞 包含严重远程代码执行风险

    CVE-2024-32002漏洞严重性在于,黑客可通过创建特定的Git仓库子模块,诱骗Git将文件写入.git/目录,而非子模块的工作树。如此一来,攻击者便能在克隆过程中植入恶意脚本,用户几乎无法察觉。
    的头像 发表于 05-31 10:09 591次阅读

    CYW43455使用装有ImmortalWrt 23.05.1固件的D-Link DIR-842 C1时,无法连接是怎么回事?

    23.05.1 固件(WPA3)的 D-Link DIR-842 C1 时,却无法连接。 是否有人使用过 CYW43455 设备连接 ImmortalWrt 设置 AP? 或者 CYW43455 能否与不朽系统通信?
    发表于 05-23 07:42

    PuTTY等工具曝严重安全漏洞:可还原私钥和伪造签名

    据报道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。仅需使用60个签名,攻击者即可还原私钥。为应对此风险,官方更新推出0.81版本,呼吁使用尽快升级。
    的头像 发表于 04-18 10:06 657次阅读

    苹果Mac设备易成为企业环境黑客攻击目标

    随着macOS桌面用户群体的壮大,攻击者正调整攻势,致力于创新更多的跨平台攻击方式。数据表明,攻击者通常会借助社交工程的手段,将开发人员和工程师等企业用户设为攻击目标。
    的头像 发表于 04-12 11:25 339次阅读

    Rust漏洞可远程执行恶意指令,已发布安全补丁

    漏洞源于操作系统命令及参数注入缺陷,攻击者能非法执行可能有害的指令。CVSS评分达10/10,意味着无须认证即可借助该漏洞发起低难度远端
    的头像 发表于 04-10 14:24 697次阅读

    LG智能电视被曝存四安全漏洞,影响超9万台设备

    漏洞利用了3000/3001端口上运行的服务,主要为智能手机提供PIN接入功能。Bitdefender指出,虽然这些漏洞应仅限局域网使用,但Shodan扫描显示,约有91000台潜在易受攻击的LG
    的头像 发表于 04-10 14:12 570次阅读

    CISPA-Helmholtz中心洞察UDP协议漏洞,构建Loop DoS攻击

    结合UDP协议的缺陷,“Loop DoS”实施IP欺骗极为简单。攻击者可设立一种自动生成大流量的情境,使目标系统或整网陷入拒绝服务(DoS)状态。
    的头像 发表于 03-21 14:52 622次阅读

    苹果修复macOS Ventura和Sonoma内存漏洞

    苹果强调,该漏洞可影响macOS Ventura及macOS Sonoma系统,攻击者可借此生成恶意文件。用户一旦点击浏览,可能引发应用程序异常关闭甚至造成任意代码执行风险。
    的头像 发表于 03-14 11:43 657次阅读

    随机通信下多智能体系统的干扰攻击影响研究

    网络控制系统可能会受到不同类型的网络攻击威胁[10-12],主要包括拒绝服务(denial of service, DoS)攻击[7]、欺骗攻击[8]、干扰攻击[9]等。文献[10]研
    发表于 03-01 11:00 578次阅读
    随机通信下多智能体系统的干扰<b class='flag-5'>攻击</b>影响研究

    DDoS攻击的多种方式

    DDOS攻击指分布式拒绝服务攻击,即处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这
    的头像 发表于 01-12 16:17 616次阅读

    CSRF攻击的基本原理 如何防御CSRF攻击

    。与其他攻击方式相比,CSRF 攻击不需要获取用户的敏感信息(如用户名和密码),而是利用了用户和网站之间的信任关系,使得攻击者可以在用户不知情的情况下执行未经授权的操作,从而导致严重
    的头像 发表于 01-02 10:12 2696次阅读
    CSRF<b class='flag-5'>攻击</b>的基本原理 如何防御CSRF<b class='flag-5'>攻击</b>