Kritische Lücke erlaubt Root-Zugriff auf D-Link-NAS DNS-320
(Bild: Artur Szczybylo/Shutterstock.com)
Ein Update schließt eine Schwachstelle mit Höchstwertung im Netzwerkspeicher DNS-320 von D-Link.
Angreifer könnten das NAS-Modell DNS-320 von D-Link attackieren und Zugriff mit Root-Rechten bekommen. Dann könnten sie Schadcode ausführen und die volle Kontrolle übernehmen. Ein Sicherheitspatch ist schon länger verfügbar.
Die Sicherheitslücke (CVE-2019-16057) gilt als "kritisch" und weist einen CVSS V2 Base Score von 10/10 auf. Alle Firmware-Versionen bis einschließlich v2.05b10 sind bedroht. Abgesichert ist einer Warnmeldung von D-Link zufolge [1]die Ausgabe v2.06b01 [2].
Remote Code Execution
Die Schwachstelle findet sich im Login-Modul im versteckten Feature SSL Login. Dort konnten Sicherheitsforscher von CyStack ansetzen und eigenen Code ausführen. Angriffe sollen aus der Ferne und ohne Authentifizierung möglich gewesen sein. Wie das im Detail funktioniert hat, führen sie in einem Beitrag aus [3].
D-Link gibt an, die Lücke bereits im April 2019 mit einem Patch geschlossen zu haben. Infos dazu tauchen aber erst jetzt auf. (des [4])
URL dieses Artikels:
https://www.heise.de/-4533707
Links in diesem Artikel:
[1] https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10123
[2] https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10123
[3] https://blog.cystack.net/d-link-dns-320-rce/
[4] mailto:des@heise.de
Copyright © 2019 Heise Medien