Dutzende Sicherheitslücken in D-Link-Netzwerkspeichern

D-Link-DNS-320-NASSchon seit einem Jahr sind die massiven Sicherheitslücken in den Netzwerkspeichern (NAS) von D-Link nach einem aktuellen Bericht von Heise bekannt. Nur wenige davon hat der Hersteller bisher beseitigt, obwohl der Entdecker der Einfallstore für Angreifer,  der Pentester Gergely Eberhardt von Search-Lab, die Details zu den Lücken in einem 32-seitigen PDF-Dokument beschreibt und seither mit leider nur mäßigem Erfolg versucht, den Hersteller zu bewegen, sie zu schließen.

Von Command Injection bis Buffer Overflow

Eberhardt stieß bei seinen Tests auf die unterschiedlichsten Typen von Schwachstellen. Es gelang ihm dabei, die Authentifizierung der Web-Konsole gleich mit mehreren Methoden zu umgehen.

So nutzte er beispielsweise simpel die standardmäßig vorhandenen Accounts “root” und “nobody“. Für diese war meist kein Passwort gesetzt – und es ließ sich auch nachträglich keines setzen.

Die meisten gefundenen Lücken sind vom Typ Command-Injection, und eignen sich zum Einschleusen und Ausführen von Befehlen potentieller Angreifer. Aber auch einige Buffer Overflows finden sich auf der langen Liste der Sicherheitsrisiken.

Die betroffenen Modelle

Solche Probleme weisen gleich 10 der D-Link-Geräte auf. Sollten Sie eines der Modelle in der nachstehenden Liste nutzen, wird es Zeit, etwas zu tun:

  • DNS-320
  • DNS-320B
  • DNS-320L
  • DNS-320LW
  • DNS-322L
  • DNS-325
  • DNS-327L
  • DNS-345
  • DNR-326
  • DNR-322L

Manche der Lücken kamen nach Eberhardt sogar erst durch “halbgare” Sicherheits-Patches in die Firmware der Netzspeicherplatten, das soll bei gleich zwei Modellen vorgekommen sein.

Was man dagegen tun kann

Wenn Sie also eines der unsicheren Geräte benutzen, sollten Sie umgehend die jeweils aktuelle Firmware-Version draufspielen. Damit haben Sie ihren NAS zumindest so weit abzusichern, wie es derzeit möglich ist.

Außerdem sollten Sie darauf achten, dass das Web-Interface des Gerätes nicht über das Internet zu erreichen ist. Eberhardt rät zusätzlich dazu, sicherheitshalber die UPnP-Funktion ganz abzuschalten.


wallpaper-1019588
Golf bei den European Championships Berlin/Glasgow
wallpaper-1019588
KEKSE!!!
wallpaper-1019588
Job der Woche: InnoGames sucht Game-Designer in Hamburg
wallpaper-1019588
So lebst Du morgen – wenn sich die Wohnzimmerwand bewegt…
wallpaper-1019588
Kotodama Shōjo: Avex kündigt Mixed Media Franchise inklusive Anime an
wallpaper-1019588
Is this a Zombie? – Das sind die Extras des zweiten Volumes
wallpaper-1019588
Triathlon(Bloggerinnen) Trainingscamp im Zillertal
wallpaper-1019588
Pokémon GO Event: One Piece meets Pokémon