今年4月研究人员揭露D-Link网路储存设备(NAS)高风险漏洞,而且,这些机型生命周期都已结束,D-Link不提供修补程式,当时有超过9万台设备曝险,不久之后就出现相关资安事故。存在于该厂牌生命周期终结设备的弱点,如今再度出现。
值得留意的是,上周研究人员公布的弱点CVE-2024-10914为重大层级,接下来很有可能会被攻击者盯上,并将其实际尝试利用。
【攻击与威胁】
资安业者Socket警告,恶意的Python套件fabrice企图伪装成正版的SSH自动化程式库fabric,它们有同样的功能描述,只不过,盗版的名字多了一个字母,而且它会窃取用户的AWS金钥。
fabric是由Jeff Forcier(bitprophet)负责开发及维护,问世十多年来已有超过2亿次的下载。至于fabrice则是在2021年现身,下载次数亦已超过3.7万,且同时支援Linux及Windows作业系统。
研究显示,骇客的最终目的是窃取帐密资料,特别是AWS金钥,fabrice利用boto3函式库来存取开发人员的AWS存取金钥与密钥,再将相关资讯传送到位于巴黎的VPN伺服器。开发人员的凭证一旦遭窃,骇客即可取得受害者的云端资源。
◆◆研究人员Netsecfish于D-Link旗下部分型号的网路储存设备(NAS)发现重大层级的CVE-2024-10914,此为命令注入漏洞,存在于NAS设备名为account_mgr.cgi的URI,发生在CGI指令码cgi_user_add处理name参数的过程,未经身分验证的攻击者有机会利用伪造的HTTP GET请求,借由漏洞注入任意的Shell命令,估计全球约有6.1万台设备曝险。
这项漏洞影响DNS-320、DNS-320LW、DNS-325,以及DNS-340L等4款机种,根据漏洞资料库VulDB的评估,此漏洞的4.0版CVSS风险评分为9.2(满分10分)。
针对该漏洞曝险的情况,Netsecfish透过物联网搜寻引擎FOFA进行调查,结果从41,097个IP位址当中,找到61,147台设备,其中英国有10,381台最多,义大利、德国、俄罗斯居次,分别有5,835台、4,877台、3,936台。