Kritische Lücke erlaubt Root-Zugriff auf D-Link-NAS DNS-320

Ein Update schließt eine Schwachstelle mit Höchstwertung im Netzwerkspeicher DNS-320 von D-Link.

In Pocket speichern vorlesen Druckansicht
Kritische Lücke erlaubt Root-Zugriff auf D-Link-NAS DNS-320

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 1 Min.

Angreifer könnten das NAS-Modell DNS-320 von D-Link attackieren und Zugriff mit Root-Rechten bekommen. Dann könnten sie Schadcode ausführen und die volle Kontrolle übernehmen. Ein Sicherheitspatch ist schon länger verfügbar.

Die Sicherheitslücke (CVE-2019-16057) gilt als "kritisch" und weist einen CVSS V2 Base Score von 10/10 auf. Alle Firmware-Versionen bis einschließlich v2.05b10 sind bedroht. Abgesichert ist einer Warnmeldung von D-Link zufolge die Ausgabe v2.06b01.

Die Schwachstelle findet sich im Login-Modul im versteckten Feature SSL Login. Dort konnten Sicherheitsforscher von CyStack ansetzen und eigenen Code ausführen. Angriffe sollen aus der Ferne und ohne Authentifizierung möglich gewesen sein. Wie das im Detail funktioniert hat, führen sie in einem Beitrag aus.

D-Link gibt an, die Lücke bereits im April 2019 mit einem Patch geschlossen zu haben. Infos dazu tauchen aber erst jetzt auf. (des)