-
-
D-Link宣布不会修复影响60000台旧NAS设备的严重安全漏洞
-
发表于: 2024-11-13 09:15 594
-
在当今网络安全威胁日益增多的环境中,硬件厂商的责任与最终用户的安全变得愈加重要。最近,D-Link宣布他们不会为超过60000台旧款网络附属存储(NAS)设备发布修复补丁,这一决定引发了广泛的关注与争议。该漏洞,被标记为CVE-2024-10914,是一种命令注入漏洞,允许未授权的攻击者通过未经过滤的HTTP请求执行任意代码。
从一开始,D-Link就未能给予充分重视这个严重的漏洞。根据安全研究人员的报告,D-Link设备的安全性正受到极大威胁。这一漏洞影响的设备包括DNS-320、DNS-320LW、DNS-325和DNS-340L等型号,这些设备许多被中小企业广泛使用,至今仍在使用中。根据Netsecfish的调查结果,至少有61147个相关结果和41097个唯一的IP地址显示这些设备仍在使用,且存在安全隐患。
D-Link在其安全公告中表示,由于这些型号已达到终止服务(EOL)状态,因此将不会发布安全修复更新。该公司建议用户尽快将这些旧设备替换为更新的,支持的设备;如果无法立即更换,至少应将其与公网隔离,以免潜在的黑客入侵。这样的处理方式无疑让依赖这些设备的用户陷入了尴尬境地。
鲍勃·亨特(Bob Hunter),一位负责网站安全的独立研究员,对于这一情况表示:「企业应该对其产品负有更高的责任,而不仅仅是在设备达到EOL之后撇清关系。」他进一步指出,很多小型企业的用户并不容易立刻替换掉这些硬件设备,尤其是当这些设备仍在正常使用并提供服务时。黑客毫无疑问会利用这一漏洞对这些设备发起攻击,进而影响大量依赖这些设备存储和处理数据的企业。
当下,网络安全的一个重要趋势就是反向利用。许多攻击者会利用一旦固件更新停止的设备对其进行针对性的攻击,这样可确保获取更高价值的数据。例如,受到攻击后,黑客不仅能窃取数据, 还可能对数据进行加密, 威胁用户支付赎金。这使得没有得到安全更新的旧设备具有极大的风险。
目前,D-Link针对这一漏洞的反应措施显得极为薄弱。虽然该公司建议用户采取隔离措施,但这显然无法解决根本问题。对于已经广泛使用了多年的这些设备,D-Link应该彻底考虑其产品的长远安全性及后续更新策略。
对于普通消费者而言,这一事件再一次揭示了在选购硬件时需考虑到的安全因素。虽然许多消费者可能只关注价格及功能,却很少关注硬件的厂商是否会在设备使用寿命内提供更新修复。D-Link的这一策略,无疑让人对更广泛的市场产生疑虑,尤其是对于那些使用过时或易受到攻击的设备的消费者。
此外,值得注意的是,这一事件也再次把“开源固件”的概念推向了前台。许多持不同观点的专家开始讨论,是否应当强制厂商在其产品停止服务时,将其固件开源,以便用户能够自行维护和更新。一些已经尝试安装开源固件的用户,表示这种自定义的解决方案为他们的设备带来了新的生命力,使他们得以继续安全使用这些老旧的硬件。
然而,这并不是一个容易的选择。在硬件厂商对产品的支持消失后,试图自主更新旧设备的人将面临相当大的风险。完全开源的固件虽然为用户提供了更多的灵活性,但它同样需要用户具备一定的技术知识,以避免设备在升级过程中被不当操作而致使失效或被黑客攻击。而这就是企业与消费者之间的责任与义务。
对于网络安全的未来,厂商承诺保持一定的支持时间变得尤为重要。随着互联网日益渗透到我们生活的方方面面,用户更需与设备厂商一起,共同承担对设备安全的责任。网络安全不应仅仅是企业的责任,每个用户都有义务采取措施确保其设备的安全。
总的来看,D-Link的这一决定不仅使得受影响的用户面临更大的风险,同时也在网络安全和厂商责任的讨论中掀起了新的波浪。在未来,或许会有更多用户开始关注选购时的设备安全问题,更希望厂商能够提供可靠的更新承诺。
而作为普通消费者,我们有必要在购买任何技术产品时,仔细核查厂商的支持政策与安全承诺。这样的举动也许不会找到可替代的完美解决方案,但至少会促使企业在未来的发展中更加重视产品的长续航与用户的长期安全体验。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)