Schon seit einem Jahr sind die massiven Sicherheitslücken in den Netzwerkspeichern (NAS) von D-Link nach einem aktuellen Bericht von Heise bekannt. Nur wenige davon hat der Hersteller bisher beseitigt, obwohl der Entdecker der Einfallstore für Angreifer, der Pentester Gergely Eberhardt von Search-Lab, die Details zu den Lücken in einem 32-seitigen PDF-Dokument beschreibt und seither mit leider nur mäßigem Erfolg versucht, den Hersteller zu bewegen, sie zu schließen.
Von Command Injection bis Buffer Overflow
Eberhardt stieß bei seinen Tests auf die unterschiedlichsten Typen von Schwachstellen. Es gelang ihm dabei, die Authentifizierung der Web-Konsole gleich mit mehreren Methoden zu umgehen.
So nutzte er beispielsweise simpel die standardmäßig vorhandenen Accounts “root” und “nobody“. Für diese war meist kein Passwort gesetzt – und es ließ sich auch nachträglich keines setzen.
Die meisten gefundenen Lücken sind vom Typ Command-Injection, und eignen sich zum Einschleusen und Ausführen von Befehlen potentieller Angreifer. Aber auch einige Buffer Overflows finden sich auf der langen Liste der Sicherheitsrisiken.
Die betroffenen Modelle
Solche Probleme weisen gleich 10 der D-Link-Geräte auf. Sollten Sie eines der Modelle in der nachstehenden Liste nutzen, wird es Zeit, etwas zu tun:
- DNS-320
- DNS-320B
- DNS-320L
- DNS-320LW
- DNS-322L
- DNS-325
- DNS-327L
- DNS-345
- DNR-326
- DNR-322L
Manche der Lücken kamen nach Eberhardt sogar erst durch “halbgare” Sicherheits-Patches in die Firmware der Netzspeicherplatten, das soll bei gleich zwei Modellen vorgekommen sein.
Was man dagegen tun kann
Wenn Sie also eines der unsicheren Geräte benutzen, sollten Sie umgehend die jeweils aktuelle Firmware-Version draufspielen. Damit haben Sie ihren NAS zumindest so weit abzusichern, wie es derzeit möglich ist.
Außerdem sollten Sie darauf achten, dass das Web-Interface des Gerätes nicht über das Internet zu erreichen ist. Eberhardt rät zusätzlich dazu, sicherheitshalber die UPnP-Funktion ganz abzuschalten.
