Multiple NAS Devices

Die Schwachstelle betrifft mehrere Netzwerkspeicher-Geräte (NAS) von D-Link, konkret die Modelle DNS-320L, DNS-325, DNS-327L und DNS-340L. Sie steckt im HTTP-GET-Request-Handler, genauer in einer Funktion der Skriptdatei nas_sharing.cgi. Über den Parameter „system“ lassen sich eigene Betriebssystembefehle einschleusen (Command Injection). Der Angriff kann aus der Ferne ausgeführt werden, und ein zugehöriger Exploit ist bereits öffentlich bekannt und im Umlauf. In Verbindung mit einer zweiten Lücke kann ein Angreifer dadurch unautorisiert und aus der Ferne beliebigen Code auf dem Gerät ausführen und es übernehmen. Besonders kritisch ist der Umstand, dass es sich um Altgeräte handelt, die vom Hersteller nicht mehr unterstützt werden: Der Hersteller hat bestätigt, dass diese Produkte das Ende ihres Lebenszyklus erreicht haben, sodass keine Korrektur mehr bereitgestellt wird. Wer ein solches Gerät weiter im Netz betreibt, bleibt dauerhaft angreifbar.