D-Link DNS-320 NAS设备被曝严重缺陷，存储文件可遭远程访问

D-Link DNS-320 ShareCenter NAS 设备中被曝一个严重漏洞，可被远程用于完全控制设备并访问存储在设备上的文件。

越南网络安全公司CyStack Security 的研究人员发现了这个漏洞并在8月中旬告知D-Link。一个月之后，该公司发布安全公告称该安全漏洞实际上已在四月份意外修复，当时 D-Link 发布固件版本 2.06b01解决了由 Cr1ptT0r 勒索软件感染 D-Link NAS 设备所利用的一个弱点。

该缺陷是CVE-2019-16057，CyStack 对其的 CVSS 评分为10，它影响固件版本为 2.05b10 及更早版本的 D-Link DNS-320 设备。

CyStack 公司的研究员 Nguyen Dang表示该漏洞可直接从互联网利用，而且目前已从 web 至少发现800台易受攻击的设备。Nguyen 表示在该漏洞被修复前所有的 D-Link DNS-320 设备版本均易受攻击。

该漏洞被指为存在于DNS-320 管理接口的登录模块中的命令注入问题。受影响的模块 /cgi/login_mgr.cgi 包括可被投毒的 “port” 参数。未经验证的攻击者可滥用该模块以根权限执行任意命令，可导致攻击者完全控制目标设备以及所存储的文件。

该漏洞的技术详情如下：https://blog.cystack.net/d-link-dns-320-rce/。