TerraMaster OS

Die Schwachstelle steckt in der Web-Schnittstelle des TerraMaster OS, das auf den Netzwerkspeichern (NAS) des Herstellers TerraMaster läuft. Eine Programmierschnittstelle des Systems gibt vertrauliche Daten preis, wenn eine Anfrage mit einer bestimmten Kennung im User-Agent-Feld – nämlich der Zeichenfolge “TNAS” – gestellt wird. In der Antwort des Servers lässt sich daraufhin das Administratorpasswort im Klartext auslesen. Der Angriff gelingt aus der Ferne und ohne vorherige Anmeldung: Ein unauthentifizierter Angreifer benötigt lediglich Netzwerkzugriff auf das Gerät. Mit dem so erbeuteten Administratorkennwort kann er sich vollwertig anmelden, das Gerät übernehmen und darauf eigene Befehle ausführen. Betroffen sind die NAS-Geräte mit dieser Betriebssystem-Version, auf denen häufig große Mengen gespeicherter Daten liegen. Da solche Speichersysteme oft direkt aus dem Netz erreichbar sind, ist die Schnittstelle ein unmittelbar exponierter Angriffspunkt.