Aktiver Exploit von CVE-2024-10914: Command Injection bei D-Link NAS-Modellen
Table of Contents
Ein Command Injection Vulnerability (CVE-2024-10914) betrifft mehrere D-Link NAS-Modelle, darunter die DNS-320, DNS-325 und DNS-340L. Diese Schwachstelle im account_mgr.cgi-Script ermöglicht es einem Angreifer, durch das unsichere name-Parameter Management in der cgi_user_add-Funktion über HTTP GET-Requests beliebige Shell-Befehle einzuschleusen.
Betroffene Modelle:
- DNS-320 (Version 1.00)
- DNS-320LW (Version 1.01.0914.2012)
- DNS-325 (Version 1.01 und 1.02)
- DNS-340L (Version 1.08)
Die Schwachstelle wurde in Geräten festgestellt, die den End-of-Life- und End-of-Service-Status erreicht haben und daher keine Sicherheitsupdates mehr erhalten. D-Link empfiehlt, diese Geräte zu ersetzen und auf moderne, sicherheitsunterstützte Hardware umzusteigen.
Die Ausnutzung dieser Schwachstelle über einen curl-Befehl erfolgt durch einen speziell konstruierten HTTP GET-Request. Ein Beispiel für den Exploit sieht wie folgt aus:
curl "http://[Ziel-IP]/cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name=';<EINGEFÜGTER_SHELL_BEFEHL>;'"