N1A1 NAS

Die Schwachstelle betrifft das Netzwerkspeichergerät N1A1 NAS von LG, ein an das Netzwerk angeschlossenes Speichersystem zur zentralen Ablage von Dateien. In der Web-Schnittstelle des Geräts können Angreifer über manipulierte HTTP-POST-Anfragen eigene Parameter einschleusen, die das Gerät anschließend als Systembefehle ausführt. Auf diesem Weg lässt sich aus der Ferne beliebiger Code auf dem NAS ausführen – der Angreifer bringt also seine eigenen Befehle zur Ausführung und kann das Gerät unter seine Kontrolle bringen. Da der Angriff allein über HTTP-Anfragen an die Verwaltungsoberfläche erfolgt, genügt der Netzwerkzugriff auf das Gerät, um die Lücke auszunutzen. Betroffen sind alle Daten, die auf dem Speichersystem abgelegt sind, sowie das Gerät selbst, das als Einstiegspunkt in das umgebende Netzwerk dienen kann.