개요
D-LINK는 자사 제품에서 발생하는 취약점 해결하는 보안 업데이트를 발표하였습니다. 해당하는 제품 사용자는 최신 버전으로 업데이트하시기 바랍니다.
대상 제품
CVE-2024-3272
- DNS-320L 버전 1.11, 버전 1.03.0904.2013, 버전 1.01.0702.2013
- DNS-325 버전 1.01
- DNS-327L 버전 1.09, 버전 1.00.0409.2013
- DNS-340L 버전 1.08
CVE-2024-3273
- DNS-320L 1.11, 1.03.0904.2013, 1.01.0702.2013 버전
- DNS-325 1.01
- DNS-327L 1.09, 1.00.0409.2013 버전
- DNS-340L 1.08
해결된 취약점
nas_sharing.cgi의 하드코딩된 자격 증명으로 인한 백도어와 매개 system변수를 통한 명령 주입 취약점 (CVE-2024-3272)
HTTP GET 요청 핸들러 구성요소의 cgi-bin/nas_sharing.cgi 인수 시스템 조직 시 발생하는 명령 주입 취약점 (CVE-2024-3273)
취약점 패치
참고 사이트의 안내에 따라 취약점 패치 버전으로 업데이트 하시기 바랍니다.
- 서비스 수명 종료로 장치 폐기 및 교체 권장
참고 사이트
[1] DNS-320L / DNS-325 / DNS-327 / DNS-340L and All D-Link NAS Storage :: All Models and All Revison :: End of Service Life :: Vulnerabilities Reported by VulDB/Netsecfish
https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383
[2] Command Injection and Backdoor Account in D-Link NAS Devices
https://github.com/netsecfish/dlink
[3] Command Injection and Backdoor Account in D-Link NAS Devices
https://github.com/netsecfish/dlink
[4] DNS-320L / DNS-325 / DNS-327 / DNS-340L and All D-Link NAS Storage :: All Models and All Revison :: End of Service Life :: CVE-2024-3273 : Vulnerabilities Reported by VulDB/Netsecfish
https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383