D-Link waarschuwt voor backdoor in niet meer ondersteunde NAS-systemen
Netwerkfabrikant D-Link waarschuwt voor een backdoor-account in niet meer ondersteunde NAS-systemen, waardoor aanvallers de apparaten op afstand kunnen aanvallen. Volgens een beveiligingsonderzoeker zijn meer dan 92.000 kwetsbare NAS-systemen op internet te vinden. Aangezien de apparaten geen patches meer ontvangen adviseert D-Link die niet meer te gebruiken en door een nieuwe NAS te vervangen.
Het probleem speelt onder andere bij de D-Link DNS-340L, DNS-320L, DNS-327L en DNS-325. Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een 'backdoor account' zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando's op het NAS-systeem uitvoeren, wat kan leiden tot toegang tot gevoelige informatie, het aanpassen van de systeemconfiguratie of een denial of service.
D-Link stelt dat de betreffende NAS-systemen end-of-life zijn en niet meer worden ondersteund. Gebruikers worden dan ook opgeroepen deze apparaten niet meer te gebruiken en te vervangen door nog wel ondersteunde apparatuur. Om kwetsbare NAS-systemen aan te kunnen vallen moeten een aanvaller hier wel een malafide HTTP-request naar toe kunnen sturen. Volgens een onderzoek met het alias 'NetworkSecurityFish' zijn echter meer dan 92.000 kwetsbare NAS-systemen vanaf het internet bereikbaar.
Maar niet aan het internet hangen. Want dan krijg je vlooien, kakkerlakken en luizen. Ongeacht van welk merk.
Ze updaten hun zerodays maar ergens anders, als ze daar nog zin in hebben.
Maar niet aan het internet hangen. Want dan krijg je vlooien, kakkerlakken en luizen. Ongeacht van welk merk.
Ze updaten hun zerodays maar ergens anders, als ze daar nog zin in hebben.
Mooie argumenten allemaal, maar staat wel haaks op de opmerkingen hier dat je vooral niet in de cloud moet gaan zitten, en niet alles met die datagraaiers moet willen delen. En dan kan een NAS een prima alternatief zijn, niet je foto's naar Onedrive of iCloud, maar naar je eigen NAS.
Maar, zoals met veel dingen, je moet wel weten waar je mee bezig bent, en daar zit het grote probleem. Er zijn teveel mensen die een NAS, Smart oven of Hue lampen aanschaffen en geen idee hebben van de gevaren die ze in huis halen.
Ik ben benieuwd hoe dit zit qua consumentenrecht.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
