Onderzoekers hebben in vier NAS- en NVR-systemen van fabrikant D-Link in totaal 53 kwetsbaarheden ontdekt, waardoor een aanvaller in het ergste geval de systemen op afstand volledig kan overnemen. Het gaat om de DNS-320 DNS-320L, DNS-327L en DNR-326, hoewel andere apparaten ook met één of meer van de gevonden kwetsbaarheden hebben te maken, namelijk de DNS-320B, DNS-345, DNS-325 en DNS-322L.
De onderzoekers van het Hongaarse Search-Lab ontdekten verschillende problemen. Zo bleek dat de authenticatie op verschillende manieren is te omzeilen, waardoor een aanvaller zonder het gebruik van exploits controle over het apparaat kan krijgen. Verder werden er "halfbakken" oplossingen voor eerder gepatchte kwetsbaarheden gevonden die grotere problemen introduceerden, zoals command injection waardoor een aanvaller wederom het systeem kan overnemen.
Verder bleek dat aanvallers zonder authenticatie bestanden kunnen uploaden en dat er via standaard gebruikersaccounts op de apparaten kan worden ingelogd, zonder dat de beheerder de standaard (lege) wachtwoorden van deze gebruikers kunnen aanpassen. Volgens de onderzoekers heeft D-Link inmiddels verschillende updates uitgebracht die "de meeste van de kwetsbaarheden" en "sommige van de kwetsbaarheden" verhelpen.
Details over twee lekken zullen pas eind juni worden onthuld, omdat D-Link die nog niet heeft gepatcht. Een overzicht van alle patches en kwetsbare modellen is in de advisory te vinden. Gebruikers krijgen het advies om naast het installeren van de patches, indien beschikbaar, de webinterface van de apparaten niet aan het internet te hangen, aangezien de apparaten van UPnP gebruik maken. Deze feature moeten gebruikers dan ook in hun router uitschakelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.