D-Link waarschuwt voor backdoor in niet meer ondersteunde NAS-systemen
Netwerkfabrikant D-Link waarschuwt voor een backdoor-account in niet meer ondersteunde NAS-systemen, waardoor aanvallers de apparaten op afstand kunnen aanvallen. Volgens een beveiligingsonderzoeker zijn meer dan 92.000 kwetsbare NAS-systemen op internet te vinden. Aangezien de apparaten geen patches meer ontvangen adviseert D-Link die niet meer te gebruiken en door een nieuwe NAS te vervangen.
Het probleem speelt onder andere bij de D-Link DNS-340L, DNS-320L, DNS-327L en DNS-325. Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een 'backdoor account' zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando's op het NAS-systeem uitvoeren, wat kan leiden tot toegang tot gevoelige informatie, het aanpassen van de systeemconfiguratie of een denial of service.
D-Link stelt dat de betreffende NAS-systemen end-of-life zijn en niet meer worden ondersteund. Gebruikers worden dan ook opgeroepen deze apparaten niet meer te gebruiken en te vervangen door nog wel ondersteunde apparatuur. Om kwetsbare NAS-systemen aan te kunnen vallen moeten een aanvaller hier wel een malafide HTTP-request naar toe kunnen sturen. Volgens een onderzoek met het alias 'NetworkSecurityFish' zijn echter meer dan 92.000 kwetsbare NAS-systemen vanaf het internet bereikbaar.
Maar niet aan het internet hangen. Want dan krijg je vlooien, kakkerlakken en luizen. Ongeacht van welk merk.
Ze updaten hun zerodays maar ergens anders, als ze daar nog zin in hebben.
Maar niet aan het internet hangen. Want dan krijg je vlooien, kakkerlakken en luizen. Ongeacht van welk merk.
Ze updaten hun zerodays maar ergens anders, als ze daar nog zin in hebben.
Mooie argumenten allemaal, maar staat wel haaks op de opmerkingen hier dat je vooral niet in de cloud moet gaan zitten, en niet alles met die datagraaiers moet willen delen. En dan kan een NAS een prima alternatief zijn, niet je foto's naar Onedrive of iCloud, maar naar je eigen NAS.
Maar, zoals met veel dingen, je moet wel weten waar je mee bezig bent, en daar zit het grote probleem. Er zijn teveel mensen die een NAS, Smart oven of Hue lampen aanschaffen en geen idee hebben van de gevaren die ze in huis halen.
Ik ben benieuwd hoe dit zit qua consumentenrecht.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Word Chief Information Security Officer bij Provincie Utrecht! Jij zet informatieveiligheid op de kaart, adviseert over risico’s en borgt compliance. Werk aan ‘Security by Design’ en til de digitale veiligheid naar een hoger niveau. Klaar om impact te maken? Solliciteer nu!
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
