Zeker 92.000 oude NAS-toestellen van D-Link bevatten een hardgecodeerde achterpoort waarlangs aanvallers kunnen binnendringen. Een patch bestaat niet.
Een beveiligingsonderzoeker ontdekte een gevaarlijke bug in NAS-toestellen van D-Link. De kwetsbaarheid bestaat uit een injectie-bug gecombineerd met een hardgecodeerd account (messagebus, zonder wachtwoord). Via de bug en het account kunnen hackers eigen code uitvoeren op de NAS.
Goed en slecht nieuws
Het goede nieuws is dat D-Link vandaag geen NAS-toestellen meer maakt en de kwetsbare exemplaren al vele jaren oud zijn. Het slechte nieuws is dan weer dat D-Link de getroffen opslagservers niet meer ondersteunt, maar er wel nog minstens 92.000 kwetsbare toestellen in gebruik zijn.
Volgende software is vatbaar voor de bug:
- DNS-320L versie 1.11, versie 1.03.0904.2013, versie 1.01.0702.2013
- DNS-325 versie 1.01
- DNS-327L versie 1.09, versie 1.00.0409.2013
- DNS-340L versie 1.08
Stokoud en niet ondersteund
D-Link is niet van plan om zich nog bezig te houden met de afgestoten NAS-business. Gebruikers hoeven dus niet te wachten op een patch. Dat is niet verwonderlijk: de kwetsbare D-Link Sharecenter 2-bay-BAS DNS-325 is bijvoorbeeld al in 2015 uitgefaseerd en geniet sinds 2017 geen ondersteuning meer.
lees ook
D-Link lanceert slimme mesh-router met AI
De beste oplossing is om deze kwetsbare toestellen eindelijk op welverdiend pensioen te sturen en ze te vervangen door een actuele oplossing. Los daarvan is het een slecht idee om een NAS rechtstreeks via het internet beschikbaar te stellen zonder extra bescherming. Zeker in dit geval zijn data een eenvoudig te binden buit voor aanvallers.