Hersteller D-Link hat eine kritische Sicherheitslücke in mehrere NAS-Geräten
gemeldet. Die Schwachstelle mit der Kennung CVE-2024-10914 hat einen Schweregrad von 9,2 und erlaubt es Angreifern, Shell-Befehle in die Geräte einzuschleusen und sie auszuführen. Betroffen sind folgende Modelle:
• DNS-320 Version 1.00
• DNS-320LW Version 1.01.0914.2012
• DNS-325 Version 1.01 und Version 1.02
• DNS-340L Version 1.08
Alle aufgeführten Modelle haben allerdings bereits den End-of-life- beziehungsweise den End-of-Support-Status erreicht. Problematisch ist, dass sich weltweit immer noch mehr als 60‘000 der Geräte an 41‘000 IP-Adressen im Einsatz befinden, wie Sicherheitsforscher Netsecfish herausgefunden hat, (
via "Bleeping Computer").
Dennoch will der Hersteller keinen Patch nachschieben, um die kritische Sicherheitslücke zu schliessen. D-Link beruft sich auf den EOL/EOS-Status und verweist darauf, dann entsprechende Geräte nicht mehr supported würden. Stattdessen wird der Kauf eines neueren Produktes empfohlen.
Es ist nicht das erste Sicherheitsproblem mit älteren NAS-Geräten von
D-Link. Bereits Anfang Jahr kam es zu Angriffen auf mehrere Modelle des Herstellers, ermöglicht durch zwei weitere kritische Sicherheitslücken ("Swiss IT Magazine"
berichtete).
(sta)