Ältere D-Link NAS-Geräte anfällig für Malware-Angriffe : Bis zu 92000 NAS über das Internet angreifbar?

D-Link ist mit älteren Modellen seiner Network-Attached-Storage-Geräte (NAS) ins Kreuzfeuer von Cyberkriminellen geraten. Bedrohungsakteure haben darin zwei Sicherheitslücken entdeckt, nach denen sie gezielt scannen und die sie aktiv ausnutzen. Angeblich sind bis zu 92000 über das Internet zugängliche NAS-Geräte des Herstellers betroffen.

Die als CVE-2024-3272 (CVSS-Score: 9.8) und CVE-2024-3273 (CVSS-Score: 7.3) bezeichneten Schwachstellen betreffen ältere D-Link-Produkte, die bereits den End-of-Life-Status (EoL) erreicht haben. D-Link hat in einem Advisory erklärt, keine Patches dafür bereitzustellen. Stattdessen wird Kunden empfohlen, die Produkte durch neuere Modelle zu ersetzen.

Der Sicherheitsforscher „netsecfish“ erklärte Ende März 2024, dass die Schwachstellen in der Datei nas_sharing.cgi zu finden sind und durch zwei Hauptprobleme verursacht werden: eine Hintertür mit fest kodierten Anmeldeinformationen und eine Schwachstelle für die Einschleusung von Befehlen über den Systemparameter. Die Ausnutzung dieser Schwachstellen könnte es Angreifern ermöglichen, beliebige Befehle auf den betroffenen D-Link NAS-Geräten auszuführen und auf sensible Informationen zuzugreifen, Systemkonfigurationen zu ändern oder sogar einen Denial-of-Service (DoS)-Zustand herbeizuführen.

Die Probleme betreffen die Modelle:

• DNS-320L
• DNS-325
• DNS-327L und
• DNS-340L

Der Threat-Intelligence-Player GreyNoise hat beobachtet, dass Angreifer tatsächlich versuchen, die Schwachstellen auszunutzen, um die Mirai-Botnet-Malware zu verbreiten und D-Link-Geräte aus der Ferne zu übernehmen.

Da es keinen Patch gibt, empfiehlt etwa auch die ShadowserverFoundation den Nutzern, diese Geräte vom Netz zu nehmen. Falls das im Moment nicht möglich ist, sollte zumindest der Fernzugriff mit einer Firewall blockiert werden, um mögliche Bedrohungen zu reduzieren.

Diese Entwicklungen zeigen erneut, dass Mirai-Botnets nicht auf dem Status quo stehenbleiben und immer wieder neue Schwachstellen in ihr Arsenal aufnehmen, während Bedrohungsakteure schnell neue Varianten entwickeln, um diese Schwächen auszunutzen und möglichst viele Geräte zu infiltrieren. Netzwerksysteme werden zunehmend zu Zielen für finanziell motivierte und staatlich gesteuerte Angreifer.

Diese Entwicklung passt zur Entdeckung der Palo Alto Networks Unit 42, dass Bedrohungsakteure vermehrt zu Malware-initiierten Scan-Angriffen übergehen, um Schwachstellen in Zielnetzwerken aufzudecken. Das Unternehmen erklärt, dass einige dieser Scan-Angriffe von scheinbar unverdächtigen Netzwerken ausgehen könnten, die jedoch von Malware auf infizierten Rechnern gesteuert werden. Durch das Starten von Scan-Angriffen von kompromittierten Hosts aus können Angreifer ihre Spuren verwischen, Geofencing umgehen, Botnets erweitern und die Ressourcen der infizierten Geräte nutzen, um ein höheres Volumen an Scan-Anfragen zu generieren, als sie es mit ihren eigenen Geräten könnten.