研究人员Netsecfish于D-Link旗下部分型号的网络存储设备（NAS）发现重大层级的CVE-2024-10914，此为命令注入漏洞，存在于NAS设备名为account_mgr.cgi的URI，发生在CGI脚本cgi_user_add处理name参数的过程，未经身分验证的攻击者有机会利用伪造的HTTP GET请求，借由漏洞注入任意的Shell命令，估计全球约有6.1万台设备曝险。

这项漏洞影响DNS-320、DNS-320LW、DNS-325，以及DNS-340L等4款机种，根据漏洞数据库VulDB的评估，此漏洞的4.0版CVSS风险评分为9.2（满分10分）。

研究人员也进一步说明攻击者如何利用这个漏洞，他们可对NAS发送特制的HTTP GET请求，并将恶意输入的内容挟带于name参数当中，这么一来，就会触发带有name参数的cgi_user_add命令，并在设备注入Shell命令。

针对该漏洞曝险的情况，Netsecfish通过物联网搜索引擎FOFA进行调查，结果从41,097个IP位址当中，找到61,147台设备，其中英国有10,381台最多，意大利、德国、俄罗斯居次，分别有5,835台、4,877台、3,936台。

对此，11月8日D-Link发布资安公告证实上述漏洞，但也表明这些设备的产品支持状态皆为生命周期结束（EOL）或是服务周期终止（EOS），该公司将不予处理，呼吁用户尽速汰换设备。

值得留意的是，近期产品周期结束但被揭露有资安漏洞的D-Link设备，并非首例，今年4月，Netsecfish揭露高风险漏洞CVE-2024-3273，估计全球超过9万台D-Link设备曝险，事隔不到一周威胁情报业者GreyNoise、Shadowserver基金会证实，已有漏洞尝试利用攻击的迹象。