XSS-haavoittuvuus D-Linkin NAS-verkkotallennuslaitteissa

D-Linkin useiden NAS-verkkotallennuslaitteiden web-hallintaliittymästä on löytynyt cross site scripting -haavoittuvuus, jonka hyväksikäyttö mahdollistaa pääsyn laitteisiin ja niihin tallennettujen tietojen muokkaamisen.

Seitsemän D-Linkin NAS-verkkotallennuslaitteen web-hallintaliittymästä on löytynyt cross site scripting -haavoittuvuus, jota voi hyödyntää autentikoimattoman SMB-kirjautumisen (TCP-portti 445) kautta injektoimalla haitallinen koodi hallintaliittymään. Haavoittuvuuden hyödyntäminen ei vaadi sitä, että vieraillaan haitallisella sivustolla tai klikataan hyökkääjän toimittamaa linkkiä. Haavoittuvuutta voidaan hyödyntää, vaikka portteihin TCP/80 ja TCP/443 suuntautuva liikenne on estetty.

Haavoittuvuuden hyödyntämiseen on julkaistu esimerkkikoodia.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Sulautetut järjestelmät
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen
  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ei päivitystä
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

Haavoittuvuus on varmistettu seuraavissa laiteversioissa:
  • D-Link DNS-320
    • versio rev A 2.05b8 (julkaistu 28/07/2014)
    • versio rev B 1.02 (julkaistu 02/07/2014)
  • D-Link DNS-320L, versio 1.06b03 (julkaistu 28/07/2015)

  • D-Link DNS-325, versio 1.05b3 (julkaistu 02/07/2014)
  • D-Link DNS-327L, versio 1.06b02 (julkaistu 02/09/2014)
  • D-Link DNS-340L, versio 1.04b01 (julkaistu 11/02/2016)
  • D-Link DNS-345, versio 1.04b2 (julkaistu 17/12/2014)

Myös aiemmissa tai myöhemmissä versioissa voi olla haavoittuvuus.

Ratkaisu- ja rajoitusmahdollisuudet:

Asenna korjaava ohjelmistopäivitys laitteisiin, joihin se on saatavilla: DNS-320, DNS-320L, DNS-340L.

Jos hallintaliittymään on jo injektoitu haittakoodia, hallintaliittymään kirjautuminen korjauspäivityksen asentamiseksi voi laukaista haittakoodin suorittamisen. Tämän vuoksi kannattaa noudattaa varotoimenpiteitä, jotka ovat Musslerin ohjeessa.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , NCSC-FI , Verkkolaite , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248