D-Linkのネットワーク接続型ストレージデバイスのうち、使用期限を迎えた60,000台以上に、コマンドインジェクションの脆弱性があり、悪用方法が公開されている。
この脆弱性は、CVE-2024-10914 として追跡されており、深刻度はクリティカル 9.2 で、name パラメータのサニタイズが不十分な ‘cgi_user_add’ コマンドに存在します。
認証されていない攻撃者は、これを悪用して、特別に細工した HTTP GET リクエストをデバイスに送信することで、任意のシェルコマンドを注入することができます。
この欠陥は、小規模企業で一般的に使用されている D-Link ネットワーク接続ストレージ (NAS) デバイスの複数のモデルに影響します:
- DNS-320 バージョン 1.00
- DNS-320LW バージョン 1.01.0914.2012
- DNS-325 バージョン1.01、バージョン1.02
- DNS-340L バージョン 1.08
セキュリティ研究者である Netsecfish は、悪用の詳細を提供する技術文書の中で、この脆弱性を利用するには、”name パラメータに悪意のある入力を含む細工した HTTP GET リクエストを NAS デバイスに送信する必要がある” と述べています。
curl "http://[Target-IP]/cgi-bin/account_mgr.cgi cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27"
“このcurlリクエストは、注入されたシェルコマンドを含むnameパラメータでcgi_user_addコマンドをトリガーするURLを構築します “と研究者は説明しています。
NetsecfishがFOFAプラットフォームで実施した検索では、CVE-2024-10914に脆弱なD-Linkデバイスについて、41,097のユニークなIPアドレスで61,147件の結果が返された。
本日、D-Link はセキュリティ情報において、CVE-2024-10914 の修正プログラムが提供されないことを確認しており、ベンダーはユーザーに脆弱性のある製品を引退させることを推奨している。
現時点でそれが不可能な場合、ユーザーは少なくとも公衆インターネットから隔離するか、より厳しいアクセス条件下に置くべきである。
同じ研究者は今年4月、CVE-2024-3273として追跡されている任意のコマンドインジェクションおよびハードコードされたバックドアの欠陥を発見しており、今回の欠陥とほぼ同じD-Link NASモデルに影響を与えていた。
当時、FOFAのインターネットスキャンは92,589件の結果を返した。
当時、D-Linkの広報担当者は、同社はもはやNASデバイスを製造しておらず、影響を受けた製品はEoLに達しており、セキュリティ・アップデートは提供されないと述べた。
Comments