在 D-Link NAS 设备中发现一个关键漏洞（CVE-2024-10914），对全球 61,000 多个系统构成严重威胁。该漏洞是 `account_mgr.cgi` 脚本中的命令注入漏洞，允许远程攻击者通过特制的 HTTP GET 请求执行任意命令。此问题影响多个 D-Link NAS 型号，包括 DNS-320、DNS-320LW、DNS-325 和 DNS-340L，CVSSv4 得分为 9.2，表明严重程度较高。

该漏洞主要影响 `account_mgr.cgi` 脚本的 `cgi_user_add` 命令中的 `name` 参数。由于输入消毒不充分，注入`name`参数的恶意命令可导致未经授权的命令执行。正如 NETSECFISH 所强调的，“这个漏洞允许未经身份验证的攻击者通过伪造的 HTTP GET 请求注入任意 shell 命令”，使攻击者无需身份验证即可访问。

受影响的设备

• DNS-320 – 版本 1.00
• DNS-320LW – 版本 1.01.0914.2012
• DNS-325 – 版本 1.01 和 1.02
• DNS-340L – 版本 1.08

这些型号通常用于个人和小型企业的数据存储，这意味着敏感信息可能会受到攻击。

攻击者可通过向 NAS 设备的 IP 地址发送特制 HTTP GET 请求来利用 CVE-2024-10914。以下示例演示了使用 `curl` 命令进行利用：

curl "http://[Target-IP]/cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27" 

此命令会向`name`参数注入 shell 命令，从而在目标设备上触发意外执行。该命令注入漏洞被归类为 CWE-77，它使用户面临潜在的未授权访问、数据篡改，甚至在受影响设备上部署恶意软件。

为缓解这一漏洞，NETSECFISH 建议立即采取以下几个步骤：

• 应用补丁和更新： 用户应下载并安装 D-Link 提供的任何固件更新。
• 限制网络访问： 作为临时措施，对 NAS 管理界面的网络访问应仅限于受信任的 IP 地址。
• 监控固件更新： 受影响的设备用户应密切关注 D-Link 即将提供的任何安全补丁。