In juli verscheen er een firmware-update voor een ernstig beveiligingslek in de ReadyNAS van netwerkfabrikant Netgear, maar veel gebruikers blijken de update nog altijd niet geïnstalleerd te hebben. De ReadyNAS is een netwerkopslagsysteem, dat ook via het internet benaderd kan worden.
De kwetsbaarheid zorgt ervoor dat een aanvaller via slechts één ongeauthenticeerd HTTP-request naar een ongepatchte ReadyNAS het opslagsysteem volledig kan overnemen en zo toegang tot alle opgeslagen data heeft. Het lek bevindt zich in de Frontview HTTPS beheerdersinterface.
Zelfs in het geval de beheerdersinterface niet direct via het internet toegankelijk is, kan die dankzij Cross-site request forgery (XSRF) alsnog via het web worden aangevallen. In dit geval volstaat het voor een aanvaller om het slachtoffer een e-mail met een afbeelding te sturen of hem naar een website te lokken, waarna de kwaadaardige code die toegang tot de ReadyNAS geeft wordt uitgevoerd.
Beveiligingsonderzoeker Craig Young van Tripwire ontdekte de kwetsbaarheden in de ReadyNAS en zegt dat hij meer dan 10.000 apparaten aantrof die direct via HTTP of HTTPS of benaderbaar waren. Drie maanden geleden publiceerde Netgear een firmware-update om het probleem op te lossen. Het grootste deel van de gebruikers zou de update nog niet geïnstalleerd hebben.
Via de zoekmachine Shodan vond Young meer dan 10.000 ReadyNAS-apparaten. Hij analyseerde er 2.000 van en ontdekte dat 73% ongepatcht was. Gebruikers krijgen dan ook het dringende advies om naar versie 4.2.24 of 4.1.12 of nieuwer te updaten.
Deze posting is gelocked. Reageren is niet meer mogelijk.