Am besten abschalten: Alte NAS-Geräte von D-Link führen Fremdcode aus

Am besten abschalten: Alte NAS-Geräte von D-Link führen Fremdcode aus

Der Hersteller D-Link bietet keine Patches für die veralteten NAS der ShareCenter-Serie mehr an. Betroffene sollten sie vom Internet trennen oder pensionieren.

Einige NAS-Geräte der Serie “ShareCenter” des Herstellers D-Link enthalten Sicherheitslücken, die – wenn ein solches Gerät aus dem Internet erreichbar ist – Angreifern erlauben, beliebigen Schadcode einzuschleusen. Der Hersteller winkt ab: Alle betroffenen Geräte erhalten seit mindestens 4 Jahren keine Updates mehr und gehören nach D-Links Ansicht auf den Elektroschrott.

Auf den betroffenen NAS gibt es ein Systemkonto mit dem Benutzernamen “messagebus” und einem leeren Paßwort, zudem führt das CGI-Skript nas_sharing.cgi beliebige Systemkommandos im URl-Parameter “system” aus. Diese muss der Angreifer jedoch zuvor mittels Base64 umkodieren.

Die Sicherheitslücke mit der CVE-ID CVE-2024-3273 hat vom Einreicher (CNA) VulDB zunächst einen CVSS-Wert von 7.3/10 und das Risiko “hoch” bekommen, was verwundert: Schließlich handelt es sich hier um eine aus Möglichkeit für nicht angemeldete Angreifer, aus der Ferne Schadcode auf einem verwundbaren Gerät auszuführen. Üblicherweise vergeben Sicherheitsforscher für derlei Lücken Werte zwischen 9,8 und 10 und stufen sie somit als “kritisch” ein.

Insgesamt sind vier verschiedene ShareCenter-Modelle betroffen:

• DNS-320L
• DNS-325
• DNS-327L
• DNS-340L

Alle Speicherboxen sind gut abgehangen: Das DNS-327L mit zwei 3,5″-Laufwerksschächten etwa erschien im Jahr 2013; seit fünf Jahren gibt es keine Updates mehr für das Gerät. D-Link empfiehlt in einem Sicherheitshinweis daher auch lapidar “Retire and replace device”, etwa “Gerät außer Dienst nehmen und ersetzen”.

92.000 betroffene Geräte? Eher nicht

Dass über 90.000 verwundbare NAS-Geräte im Internet frei zugänglich und somit Angriffsziele seien, wie der Entdecker und verschiedene Medien berichten, dürfte jedoch um mehr als eine Größenordnung übertrieben sein. So schätzen die IoT-Suchmaschine Censys den Kreis der betroffenen NAS-Appliances auf etwa 5000, das Shadowserver Project zählt zur Stunde gut 1600.

Deren Besitzer tun nun gut daran, sich unverzüglich um Ersatz zu bemühen und – wie vom Hersteller empfohlen – ihre Uralt-Speicherboxen in Rente zu schicken. Mehrere Qullen berichten übereinstimmend von aktiven Angriffsversuchen, so etwa das Shadowserver Project und GreyNoise. Zu Zeiten aktiver Unterstützung durch den Hersteller hatte D-Link in seinen NAS-Kästchen schon mal 50 Sicherheitsfehler auf einen Schlag behoben.