Am besten alle abschalten: Alle D-Link-NAS anfällig und unter Beschuss Update
20 D-Link-NAS sind auch aus dem Internet angreifbar.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Zunächst schienen nur einige D-Link-Speichersysteme angreifbar, nun gibt der Hersteller zu: Das war nicht alles. Die CISA warnt, sie werden angegriffen.
Die Hintertür in veralteten NAS-Systemen des Herstellers D-Link betrifft nun noch mehr Geräte. In einer Aktualisierung des Sicherheitshinweises finden sich neben den ursprünglich vier betroffenen Gerätetypen sechzehn weitere, deren Support-Lebensende teilweise mehr als zehn Jahre zurückliegt. Die US-Cybersicherheitsbehörde CISA warnt zudem aktuell [1], dass die D-Link-Sicherheitslücken in den NAS bereits in freier Wildbahn angegriffen werden.
Die Sicherheitslücke – im Grunde sind es derer zwei – erlaubt durch ein Hintertür-Konto ohne Passwort sowie ein unsicheres CGI-Skript Bösewichtern die Ausführung beliebiger Shell-Kommandos auf einem betroffenen NAS. Und das ohne vorherige Anmeldung und – wenn das Webinterface des NAS etwa durch Port Forwarding aus dem Internet erreichbar ist – auch aus der Ferne.
Lange Liste löchriger LAN-Speicher
D-Links aktualisierter Liste [2] zufolge sind folgende Modelle betroffen:
- DNS-120
- DNR-202L
- DNS-315L
- DNS-320
- DNS-320L
- DNS-320LW
- DNS-321
- DNR-322L
- DNS-323
- DNS-325
- DNS-326
- DNS-327L
- DNR-326
- DNS-340L
- DNS-343
- DNS-345
- DNS-726-4
- DNS-1100-4
- DNS-1200-05
- DNS-1550-04
So hat sich die Liste der angreifbaren Appliances somit gleichsam über Nacht verfünffacht – das Shadowserver Project registriert auch vermehrte Angriffsversuche auf die Sicherheitslücken.
Weiter gilt: Keiner der verwundbaren NAS-Typen erhält noch Sicherheits- oder Funktionsupdates von D-Link. Damit bleibt Betroffenen nur, ihr Gerät schnellstmöglich vom Internet abzukoppeln und bei nächster Gelegenheit zu ersetzen. Da zur Ausführung des Exploits eine einzige HTTP-Anfrage genügt, können Angreifer auch mit Phishing, Cross-Site-Scripting oder Cross-Site Request Forgery ans Ziel kommen. Es genügt also nicht, wenn ein betroffenes NAS nicht aus dem Internet erreichbar ist – kann ein Angreifer dessen IP-Adresse erraten oder durchprobieren, gelingt die Übernahme trotzdem. Da die CISA bereits aktive Angriffe auf verwundbare Geräte beobachtet, ist nun schnelles Handeln gefragt.
Geräte des Herstellers D-Link haben eine wechselhafte Sicherheitsgeschichte: So wurden sie in den letzten Jahren massiv angegriffen und als Botnetz-Mitglieder mißbraucht. Auf unserer Themenseite D-Link [3] finden sich alle Meldungen der letzten Jahre.
Die US-Cybersicherheitsbehörde CISA hat Angriffe auf die Lücken in freier Wildbahn beobachtet und sie in den Known-Exploited-Vulnerabilities-Katalog (KEV) [4] aufgenommen. Wir haben die Meldung ergänzt.
(cku [5])
URL dieses Artikels:
https://www.heise.de/-9682099
Links in diesem Artikel:
[1] https://www.cisa.gov/news-events/alerts/2024/04/11/cisa-adds-two-known-exploited-vulnerabilities-catalog
[2] https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10383
[3] https://www.heise.de/thema/D_Link
[4] https://www.cisa.gov/news-events/alerts/2024/04/11/cisa-adds-two-known-exploited-vulnerabilities-catalog
[5] mailto:cku@heise.de
Copyright © 2024 Heise Medien