Am besten alle abschalten: Alle D-Link-NAS anfällig und unter Beschuss
Zunächst schienen nur einige D-Link-Speichersysteme angreifbar, nun gibt der Hersteller zu: Das war nicht alles. Die CISA warnt, sie werden angegriffen.
20 D-Link-NAS sind auch aus dem Internet angreifbar.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Die Hintertür in veralteten NAS-Systemen des Herstellers D-Link betrifft nun noch mehr Geräte. In einer Aktualisierung des Sicherheitshinweises finden sich neben den ursprünglich vier betroffenen Gerätetypen sechzehn weitere, deren Support-Lebensende teilweise mehr als zehn Jahre zurückliegt. Die US-Cybersicherheitsbehörde CISA warnt zudem aktuell, dass die D-Link-Sicherheitslücken in den NAS bereits in freier Wildbahn angegriffen werden.
Die Sicherheitslücke – im Grunde sind es derer zwei – erlaubt durch ein Hintertür-Konto ohne Passwort sowie ein unsicheres CGI-Skript Bösewichtern die Ausführung beliebiger Shell-Kommandos auf einem betroffenen NAS. Und das ohne vorherige Anmeldung und – wenn das Webinterface des NAS etwa durch Port Forwarding aus dem Internet erreichbar ist – auch aus der Ferne.
Lange Liste löchriger LAN-Speicher
D-Links aktualisierter Liste zufolge sind folgende Modelle betroffen:
- DNS-120
- DNR-202L
- DNS-315L
- DNS-320
- DNS-320L
- DNS-320LW
- DNS-321
- DNR-322L
- DNS-323
- DNS-325
- DNS-326
- DNS-327L
- DNR-326
- DNS-340L
- DNS-343
- DNS-345
- DNS-726-4
- DNS-1100-4
- DNS-1200-05
- DNS-1550-04
So hat sich die Liste der angreifbaren Appliances somit gleichsam über Nacht verfünffacht – das Shadowserver Project registriert auch vermehrte Angriffsversuche auf die Sicherheitslücken.
Weiter gilt: Keiner der verwundbaren NAS-Typen erhält noch Sicherheits- oder Funktionsupdates von D-Link. Damit bleibt Betroffenen nur, ihr Gerät schnellstmöglich vom Internet abzukoppeln und bei nächster Gelegenheit zu ersetzen. Da zur Ausführung des Exploits eine einzige HTTP-Anfrage genügt, können Angreifer auch mit Phishing, Cross-Site-Scripting oder Cross-Site Request Forgery ans Ziel kommen. Es genügt also nicht, wenn ein betroffenes NAS nicht aus dem Internet erreichbar ist – kann ein Angreifer dessen IP-Adresse erraten oder durchprobieren, gelingt die Übernahme trotzdem. Da die CISA bereits aktive Angriffe auf verwundbare Geräte beobachtet, ist nun schnelles Handeln gefragt.
Geräte des Herstellers D-Link haben eine wechselhafte Sicherheitsgeschichte: So wurden sie in den letzten Jahren massiv angegriffen und als Botnetz-Mitglieder mißbraucht. Auf unserer Themenseite D-Link finden sich alle Meldungen der letzten Jahre.
Die US-Cybersicherheitsbehörde CISA hat Angriffe auf die Lücken in freier Wildbahn beobachtet und sie in den Known-Exploited-Vulnerabilities-Katalog (KEV) aufgenommen. Wir haben die Meldung ergänzt.
(cku)
