Gebruikers negeren ernstig lek in Netgear ReadyNAS
In juli verscheen er een firmware-update voor een ernstig beveiligingslek in de ReadyNAS van netwerkfabrikant Netgear, maar veel gebruikers blijken de update nog altijd niet geïnstalleerd te hebben. De ReadyNAS is een netwerkopslagsysteem, dat ook via het internet benaderd kan worden.
De kwetsbaarheid zorgt ervoor dat een aanvaller via slechts één ongeauthenticeerd HTTP-request naar een ongepatchte ReadyNAS het opslagsysteem volledig kan overnemen en zo toegang tot alle opgeslagen data heeft. Het lek bevindt zich in de Frontview HTTPS beheerdersinterface.
Zelfs in het geval de beheerdersinterface niet direct via het internet toegankelijk is, kan die dankzij Cross-site request forgery (XSRF) alsnog via het web worden aangevallen. In dit geval volstaat het voor een aanvaller om het slachtoffer een e-mail met een afbeelding te sturen of hem naar een website te lokken, waarna de kwaadaardige code die toegang tot de ReadyNAS geeft wordt uitgevoerd.
Firmware-update
Beveiligingsonderzoeker Craig Young van Tripwire ontdekte de kwetsbaarheden in de ReadyNAS en zegt dat hij meer dan 10.000 apparaten aantrof die direct via HTTP of HTTPS of benaderbaar waren. Drie maanden geleden publiceerde Netgear een firmware-update om het probleem op te lossen. Het grootste deel van de gebruikers zou de update nog niet geïnstalleerd hebben.
Via de zoekmachine Shodan vond Young meer dan 10.000 ReadyNAS-apparaten. Hij analyseerde er 2.000 van en ontdekte dat 73% ongepatcht was. Gebruikers krijgen dan ook het dringende advies om naar versie 4.2.24 of 4.1.12 of nieuwer te updaten.
Je leest dat regelmatig, "er is een firmware update maar niet iedereen heeft hem geinstalleerd".
Het verbaast me dat er uberhaupt mensen zijn die hem geinstalleerd hebben.
Wie gaat er nou de hele tijd controleren bij alle fabrikanten van de apparatuur die hij in huis heeft of er misschien
een beveiligingsupdate is? Dat doet misschien een deel van de bezoekers van dit forum, maar de gewone
thuisgebruiker doet dat echt niet hoor!
Als er geen automatisch update mechanisme in zo'n apparaat zit dan ga er maar vanuit dat het zijn hele
levensduur met de door de fabriek geinstaleerde firmware zal werken. Een update komt er hooguit op als er
iets met de basisfunctionaliteit verschrikkelijk fout is, de gebruiker de winkel of de helpdesk benadert, en dan
als oplossing een update geinstalleerd wordt. Anders niet.
Helaas dat gebruikers gebruikers zijn en geen specialisten op het gebied van IT en beveiliging...
Maar met dit soort mensen hebben we wel te maken in de beveiligingsindustrie. Vooral bij het type 'zet weg en denk er niet meer aan'-producten worden updates gewoon niet gedaan, tenzij automatisch.
Daarom moeten producenten meer verantwoordelijk worden gehouden voor het verkopen van lekke apparatuur, vooral als het gaat om een 'feature' als deze.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
