image

D-Link waarschuwt voor backdoor in niet meer ondersteunde NAS-systemen

maandag 8 april 2024, 09:59 door Redactie, 4 reacties

Netwerkfabrikant D-Link waarschuwt voor een backdoor-account in niet meer ondersteunde NAS-systemen, waardoor aanvallers de apparaten op afstand kunnen aanvallen. Volgens een beveiligingsonderzoeker zijn meer dan 92.000 kwetsbare NAS-systemen op internet te vinden. Aangezien de apparaten geen patches meer ontvangen adviseert D-Link die niet meer te gebruiken en door een nieuwe NAS te vervangen.

Het probleem speelt onder andere bij de D-Link DNS-340L, DNS-320L, DNS-327L en DNS-325. Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een 'backdoor account' zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando's op het NAS-systeem uitvoeren, wat kan leiden tot toegang tot gevoelige informatie, het aanpassen van de systeemconfiguratie of een denial of service.

D-Link stelt dat de betreffende NAS-systemen end-of-life zijn en niet meer worden ondersteund. Gebruikers worden dan ook opgeroepen deze apparaten niet meer te gebruiken en te vervangen door nog wel ondersteunde apparatuur. Om kwetsbare NAS-systemen aan te kunnen vallen moeten een aanvaller hier wel een malafide HTTP-request naar toe kunnen sturen. Volgens een onderzoek met het alias 'NetworkSecurityFish' zijn echter meer dan 92.000 kwetsbare NAS-systemen vanaf het internet bereikbaar.

Reacties (4)
08-04-2024, 10:15 door Anoniem
Een NAS is voor thuisgebruik. Backups en ook dat je niet steeds met die USB sticks aan de gang moet (Vooral op behoorlijk nieuwe MacBooks een trage zooi, maar kan ook bewust zo gemaakt zijn om de prijs hoog te houden).

Maar niet aan het internet hangen. Want dan krijg je vlooien, kakkerlakken en luizen. Ongeacht van welk merk.

Ze updaten hun zerodays maar ergens anders, als ze daar nog zin in hebben.
08-04-2024, 10:25 door Anoniem
Een hardcoded backdoor is geen bug. Dit is moedwillig ingebouwd. Een beroep op end of life zou dan niet op gaan aangezien het een fabricage fout betreft en moet D-link een update uit brengen om dit te fixen.
08-04-2024, 13:10 door Anoniem
Door Anoniem: Een NAS is voor thuisgebruik. Backups en ook dat je niet steeds met die USB sticks aan de gang moet (Vooral op behoorlijk nieuwe MacBooks een trage zooi, maar kan ook bewust zo gemaakt zijn om de prijs hoog te houden).

Maar niet aan het internet hangen. Want dan krijg je vlooien, kakkerlakken en luizen. Ongeacht van welk merk.

Ze updaten hun zerodays maar ergens anders, als ze daar nog zin in hebben.

Mooie argumenten allemaal, maar staat wel haaks op de opmerkingen hier dat je vooral niet in de cloud moet gaan zitten, en niet alles met die datagraaiers moet willen delen. En dan kan een NAS een prima alternatief zijn, niet je foto's naar Onedrive of iCloud, maar naar je eigen NAS.

Maar, zoals met veel dingen, je moet wel weten waar je mee bezig bent, en daar zit het grote probleem. Er zijn teveel mensen die een NAS, Smart oven of Hue lampen aanschaffen en geen idee hebben van de gevaren die ze in huis halen.
08-04-2024, 23:38 door Hyper - Bijgewerkt: 08-04-2024, 23:38
Een backdoor is geen fout maar iets wat er moedwillig is ingebouwd. Daarom vind ik dat, wanneer D-Link weigert om dit op te lossen middels een software update, zij de kosten moeten betalen om deze hardware te vervangen. De consument heeft namelijk nooit gevraagd om een backdoor en als deze er wel in zit heeft het apparaat nooit de staat gehad zoals de consument deze verwacht te zijn.

Ik ben benieuwd hoe dit zit qua consumentenrecht.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.