Multiple NAS Devices

Die Schwachstelle betrifft mehrere Netzwerkspeicher-Geräte (NAS) von D-Link, konkret die Modellreihen DNS-320L, DNS-325, DNS-327L und DNS-340L. Der Fehler steckt im Skript, das HTTP-GET-Anfragen für die Dateifreigabe verarbeitet. In dieser Komponente sind fest einprogrammierte Zugangsdaten hinterlegt: Übergibt ein Angreifer im Benutzer-Parameter einen bestimmten, im Code hinterlegten Kontonamen, erhält er Zugriff, ohne gültige eigene Anmeldedaten zu besitzen. Über diesen authentifizierten Zugang lässt sich anschließend eine Befehlsinjektion durchführen, sodass der Angreifer eigene Systembefehle ausführt und letztlich aus der Ferne beliebigen Code auf dem Gerät einschleust. Der Angriff erfolgt über das Netzwerk; ein öffentlich verfügbarer Exploit existiert. Besonders schwer wiegt, dass die betroffenen Geräte vom Hersteller nicht mehr unterstützt werden und ihr Lebenszyklusende erreicht haben – es gibt also keine Sicherheitsaktualisierung, die den Defekt schließt.