Über 92.000 D-Link Network Attached Storage (NAS) Geräte, die das Ende ihrer Lebensdauer erreicht haben, sind nun Ziel aktiver Angriffe. Diese Geräte sind online zugänglich und nicht gegen eine kritische Schwachstelle geschützt, die eine Fernausführung von Code (Remote Code Execution, RCE) durch einen Zero-Day-Fehler ermöglicht.
Wie BleepingComputer zuerst berichtete, resultiert diese Sicherheitslücke (CVE-2024-3273) aus einem Backdoor-Zugang, der durch ein hartkodiertes Konto (Benutzername „messagebus“ mit leerem Passwort) und ein Command-Injection-Problem über den „system“-Parameter ermöglicht wird.
Bedrohungsakteure kombinieren nun diese beiden Sicherheitsmängel, um eine Variante der Mirai-Malware (skid.x86) zu verbreiten. Mirai-Varianten sind üblicherweise darauf ausgelegt, infizierte Geräte einem Botnetz hinzuzufügen, das in großangelegten Distributed-Denial-of-Service (DDoS) Angriffen eingesetzt werden kann.
Die Angriffe begannen am Montag, wie das Cybersecurity-Unternehmen GreyNoise und die Bedrohungsüberwachungsplattform ShadowServer beobachteten. Zwei Wochen zuvor hatte der Sicherheitsforscher Netsecfish die Schwachstelle offengelegt, nachdem D-Link mitteilte, dass diese Geräte am Ende ihrer Lebensdauer nicht gepatcht würden.
„Die beschriebene Sicherheitslücke betrifft mehrere D-Link NAS-Geräte, einschließlich der Modelle DNS-340L, DNS-320L, DNS-327L und DNS-325,“ erklärt Netsecfish.
„Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte es einem Angreifer ermöglichen, willkürliche Befehle auf dem System auszuführen, was potenziell zu unbefugtem Zugriff auf sensible Informationen, Änderung von Systemkonfigurationen oder Dienstausfall führen könnte.“
Auf die Frage, ob Sicherheitsupdates veröffentlicht werden, um diese Zero-Day-Schwachstelle zu beheben, teilte D-Link BleepingComputer ebenfalls mit, dass diese NAS-Geräte am Ende ihrer Lebensdauer nicht mehr unterstützt werden.
„Alle D-Link Network Attached Storage Geräte sind seit vielen Jahren am Ende ihrer Lebens- und Dienstzeit [und] die Ressourcen, die mit diesen Produkten verbunden sind, haben ihre Entwicklung eingestellt und werden nicht mehr unterstützt,“ sagte ein Sprecher von D-Link.
D-Link empfiehlt, diese Produkte auszumustern und durch Produkte zu ersetzen, die Firmware-Updates erhalten.
Der Sprecher fügte hinzu, dass diese NAS-Geräte keine automatischen Online-Update- oder Alarmbenachrichtigungsfunktionen haben, was es unmöglich macht, die Besitzer über diese laufenden Angriffe zu informieren.
Nach der Offenlegung veröffentlichte D-Link am Donnerstag ein Sicherheits-Advisory, um die Besitzer über die Sicherheitslücke zu informieren und sie zu beraten, die betroffenen Geräte so schnell wie möglich auszumustern oder zu ersetzen.
Es wurde auch eine Support-Seite für Altgeräte eingerichtet, auf der die Besitzer gewarnt werden, die letzten verfügbaren Sicherheits- und Firmware-Updates über die Legacy-Support-Website anzuwenden, obwohl dies ihre Geräte nicht vor Angreifern schützen wird.
„Wenn US-Verbraucher diese Geräte weiterhin gegen die Empfehlung von D-Link nutzen, stellen Sie bitte sicher, dass das Gerät die zuletzt bekannte Firmware hat,“ warnte D-Link.
Was D-Link nicht sagte, ist, dass NAS-Geräte nicht online exponiert werden sollten, da sie häufig in Ransomware-Angriffen gezielt angegriffen werden, um Daten zu stehlen oder zu verschlüsseln.
In den letzten Monaten wurden andere D-Link-Geräte (einige davon ebenfalls am Ende ihrer Lebensdauer) von mehreren auf Mirai basierenden DDoS-Botnetzen (eines davon als IZ1H9 verfolgt) ins Visier genommen. Ihre Besitzer arbeiten kontinuierlich daran, ihre Fähigkeiten zu erweitern, indem sie neue Exploits und Ziele hinzufügen.