DNS-320 Device

Die Schwachstelle betrifft das Netzwerkspeichergerät DNS-320 von D-Link, ein NAS-System zur zentralen Dateiablage im Netzwerk. Der Defekt sitzt in der Komponente system_mgr.cgi, einem Skript der Geräteverwaltung, das Eingaben unzureichend prüft. Dadurch ist eine Befehlsinjektion möglich: Ein Angreifer kann eigene Systembefehle einschleusen, die das Gerät anschließend ausführt. Da sich der Fehler aus der Ferne ausnutzen lässt, kann ein Angreifer auf diesem Weg beliebigen Code auf dem Gerät ausführen und es so unter seine Kontrolle bringen. Betroffen ist damit nicht nur die Verwaltung des Geräts, sondern auch der gesamte darauf gespeicherte Datenbestand. Besonders kritisch ist dies, weil solche Speichergeräte häufig dauerhaft im Netzwerk erreichbar sind und vertrauliche Daten beherbergen, sodass eine Übernahme weitreichende Folgen für das gesamte Netzwerk haben kann.