Schwachstellen in D-Link NAS: Befehlsinjektion und Hintergrundkonto

Table of Contents

In mehreren Netzwerkspeichergeräten (NAS) von D-Link wurden hochkritische Sicherheitslücken entdeckt, die Modelle wie DNS-340L, DNS-320L, DNS-327L und DNS-325 betreffen. Die Schwachstelle CVE-2024-3272 (CVSS Score 9.8 / 10) befindet sich in der URI nas_sharing.cgi und resultiert aus zwei Hauptproblemen: einem Hintergrundkonto durch fest programmierte Anmeldeinformationen und einer Befehlsinjektionsanfälligkeit über den Systemparameter. Diese Sicherheitslücken ermöglichen die Ausführung beliebiger Befehle auf den betroffenen Geräten, was Angreifern den Zugang zu sensiblen Informationen, die Änderung der Systemkonfiguration oder die Verursachung von Dienstausfällen ermöglichen könnte. Es wird geschätzt, dass über 92.000 Geräte im Internet von dieser Problematik betroffen sind.

Die Schwachstellen sind spezifisch mit den Common Weakness Enumerations CWE-77 (Befehlsinjektion) und CWE-798 (Verwendung von fest programmierten Anmeldeinformationen) verknüpft.

Betroffene Geräteversionen sind unter anderem DNS-320L Version 1.11, DNS-325 Version 1.01, DNS-327L Version 1.09 und DNS-340L Version 1.08. Im Detail liegt das Problem im CGI-Skript nas_sharing.cgi vor, das eine Hintertür durch Offenlegung von Benutzernamen und Passwort ermöglicht – die Anfrage enthält Parameter für einen Benutzernamen (user=messagebus) mit einem leeren Passwortfeld (passwd=). Dies deutet auf eine Hintertür hin, die unbefugten Zugriff ohne ordnungsgemäße Authentifizierung ermöglicht. Zudem besteht eine Befehlsinjektionsmöglichkeit durch den Systemparameter, wobei der Systemparameter innerhalb der Anfrage einen base64-codierten Wert trägt, der nach Dekodierung ein Befehl zu sein scheint.

Zur Ausnutzung dieser Schwachstelle kann eine präparierte HTTP-GET-Anfrage an den Endpunkt /cgi-bin/nas_sharing.cgi gerichtet werden. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte es einem Angreifer ermöglichen, beliebige Befehle auf dem System auszuführen, was zu unbefugtem Zugriff auf sensible Informationen, Änderung von Systemkonfigurationen oder Dienstausfallsbedingungen führen kann.

Update vom 8.4.24: Exploit Tool veröffentlicht

zur Schwachstelle wurde kürzlich ein Exploit Tool auf Github veröffentlicht. Das Tool ermöglicht es Angreifern auch ohne tiefe technische Fähigkeiten Root Rechte auf exponierte NAS Systeme von D-Link zu erlangen. Ein Update ist daher dringend anzuraten.

Related Posts

Kemp Technologies Flowmon: unautorisierte Codeausführung möglich

Kemp Technologies hat am 2.4.24 eine kritische Sicherheitslücke in den Versionen v11.x und v12.x seines Netzwerk Monitoring Systems Progress Flowmon bestätigt. Die Schwachstelle CVE-2024-2389, ermöglicht es nicht authentifizierten, Angreifern, remote auf die Web-Schnittstelle von Flowmon zuzugreifen. Sie können einen speziell gestalteten API-Befehl ausgeben, der die Ausführung willkürlicher Systembefehle ohne Authentifizierung erlaubt. Versionen vor 11.0 (10.x und niedriger) sind von dieser Schwachstelle nicht betroffen.

Read More

DOS Schwachstellen in Ivanti Pulse Connect und Policy Secure

Am 4.4.24 veröffentlichte Ivanti Informationen zu Sicherheitslücken in den Sicherheitsgateways von Ivanti Connect Secure (ICS), ehemals als Pulse Connect Secure bekannt, und Ivanti Policy Secure. Die Schwachstellen betreffen alle unterstützten Versionen – Version 9.x und 22.x. Ivanti hat bereits einen Patch zur Behebung dieser Schwachstellen veröffentlicht. Die Sicherheitslücken ermöglichen vor allem Denial Of Service Angriffe, aber aber auslesen des Speichers durch Heap Overflow. Folgende Sicherheitslücken wurden identifiziert:

Read More

VMware veröffentlicht Sicherheitsupdates für SD-WAN Edge und Orchestrator

Am 2. April 2024 gab VMware die Veröffentlichung eines Sicherheitshinweises (VMSA-2024-0008) bekannt, der mehrere Sicherheitsanfälligkeiten in VMware SD-WAN Edge und SD-WAN Orchestrator adressiert.

Read More