Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Am besten alle abschalten: Alle D-Link-NAS anfällig und unter Beschuss

Zunächst schienen nur einige D-Link-Speichersysteme angreifbar, nun gibt der Hersteller zu: Das war nicht alles. Die CISA warnt, sie werden angegriffen.

In Pocket speichern vorlesen Druckansicht 33 Kommentare lesen
Stilisierte Grafik: eine brennende Appliance im Netz

20 D-Link-NAS sind auch aus dem Internet angreifbar.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Update
Stand:
Lesezeit: 2 Min.
Security
Von

Die Hintertür in veralteten NAS-Systemen des Herstellers D-Link betrifft nun noch mehr Geräte. In einer Aktualisierung des Sicherheitshinweises finden sich neben den ursprünglich vier betroffenen Gerätetypen sechzehn weitere, deren Support-Lebensende teilweise mehr als zehn Jahre zurückliegt. Die US-Cybersicherheitsbehörde CISA warnt zudem aktuell, dass die D-Link-Sicherheitslücken in den NAS bereits in freier Wildbahn angegriffen werden.

Die Sicherheitslücke – im Grunde sind es derer zwei – erlaubt durch ein Hintertür-Konto ohne Passwort sowie ein unsicheres CGI-Skript Bösewichtern die Ausführung beliebiger Shell-Kommandos auf einem betroffenen NAS. Und das ohne vorherige Anmeldung und – wenn das Webinterface des NAS etwa durch Port Forwarding aus dem Internet erreichbar ist – auch aus der Ferne.

Lange Liste löchriger LAN-Speicher

D-Links aktualisierter Liste zufolge sind folgende Modelle betroffen:

  • DNS-120
  • DNR-202L
  • DNS-315L
  • DNS-320
  • DNS-320L
  • DNS-320LW
  • DNS-321
  • DNR-322L
  • DNS-323
  • DNS-325
  • DNS-326
  • DNS-327L
  • DNR-326
  • DNS-340L
  • DNS-343
  • DNS-345
  • DNS-726-4
  • DNS-1100-4
  • DNS-1200-05
  • DNS-1550-04

So hat sich die Liste der angreifbaren Appliances somit gleichsam über Nacht verfünffacht – das Shadowserver Project registriert auch vermehrte Angriffsversuche auf die Sicherheitslücken.

Weiter gilt: Keiner der verwundbaren NAS-Typen erhält noch Sicherheits- oder Funktionsupdates von D-Link. Damit bleibt Betroffenen nur, ihr Gerät schnellstmöglich vom Internet abzukoppeln und bei nächster Gelegenheit zu ersetzen. Da zur Ausführung des Exploits eine einzige HTTP-Anfrage genügt, können Angreifer auch mit Phishing, Cross-Site-Scripting oder Cross-Site Request Forgery ans Ziel kommen. Es genügt also nicht, wenn ein betroffenes NAS nicht aus dem Internet erreichbar ist – kann ein Angreifer dessen IP-Adresse erraten oder durchprobieren, gelingt die Übernahme trotzdem. Da die CISA bereits aktive Angriffe auf verwundbare Geräte beobachtet, ist nun schnelles Handeln gefragt.

Geräte des Herstellers D-Link haben eine wechselhafte Sicherheitsgeschichte: So wurden sie in den letzten Jahren massiv angegriffen und als Botnetz-Mitglieder mißbraucht. Auf unserer Themenseite D-Link finden sich alle Meldungen der letzten Jahre.

Update

Die US-Cybersicherheitsbehörde CISA hat Angriffe auf die Lücken in freier Wildbahn beobachtet und sie in den Known-Exploited-Vulnerabilities-Katalog (KEV) aufgenommen. Wir haben die Meldung ergänzt.

(cku)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten