DNR-322L

Die Schwachstelle steckt in der Funktion „Backup Config“ der Netzwerkspeicher-Appliance DNR-322L von D-Link, mit der sich Konfigurationsdaten sichern und wieder einspielen lassen. Beim Einspielen prüft das Gerät nicht, ob die eingelesenen Daten unverändert und vertrauenswürdig sind – es fehlt eine Integritätskontrolle des geladenen Inhalts. Ein angemeldeter Angreifer kann diese fehlende Prüfung ausnutzen, um über eine manipulierte Konfiguration eigene Betriebssystembefehle auf dem Gerät auszuführen und so weitreichende Kontrolle zu erlangen. Voraussetzung ist ein gültiger Zugang zur Verwaltung; eine vorherige Anmeldung ist also nötig. Heikel ist der Fall vor allem deshalb, weil das betroffene Produkt das Ende seiner Produktlebensdauer erreicht haben kann und vom Hersteller womöglich nicht mehr gewartet oder mit Sicherheitsaktualisierungen versorgt wird. Betroffen sind Betreiber, die diese Speicher-Appliance weiterhin im Einsatz haben.