DNS-320 Storage Device

Die Schwachstelle betrifft das Netzwerkspeichergerät DNS-320 von D-Link – ein NAS-Gerät, auf dem Dateien zentral im Netzwerk abgelegt werden. Der Fehler steckt im Skript login_mgr.cgi, das die Anmeldung über die Weboberfläche des Geräts verarbeitet. Dort werden übergebene Eingaben nicht ausreichend geprüft, sodass ein Angreifer eigene Systembefehle einschleusen kann (Command Injection). Auf diesem Weg lässt sich aus der Ferne beliebiger Code auf dem Gerät ausführen, ohne dass eine vorherige Anmeldung nötig ist. Gelingt der Angriff, erlangt der Angreifer die Kontrolle über das Speichergerät und damit Zugriff auf die dort abgelegten Daten. Besonders kritisch ist, dass dieses Modell vom Hersteller nicht mehr unterstützt wird und keine Sicherheitsaktualisierungen mehr erhält. Wo das Gerät über das Netz oder gar aus dem Internet erreichbar ist, steht der Angriffsweg dauerhaft offen.