image

Gebruikers negeren ernstig lek in Netgear ReadyNAS

woensdag 23 oktober 2013, 10:07 door Redactie, 3 reacties

In juli verscheen er een firmware-update voor een ernstig beveiligingslek in de ReadyNAS van netwerkfabrikant Netgear, maar veel gebruikers blijken de update nog altijd niet geïnstalleerd te hebben. De ReadyNAS is een netwerkopslagsysteem, dat ook via het internet benaderd kan worden.

De kwetsbaarheid zorgt ervoor dat een aanvaller via slechts één ongeauthenticeerd HTTP-request naar een ongepatchte ReadyNAS het opslagsysteem volledig kan overnemen en zo toegang tot alle opgeslagen data heeft. Het lek bevindt zich in de Frontview HTTPS beheerdersinterface.

Zelfs in het geval de beheerdersinterface niet direct via het internet toegankelijk is, kan die dankzij Cross-site request forgery (XSRF) alsnog via het web worden aangevallen. In dit geval volstaat het voor een aanvaller om het slachtoffer een e-mail met een afbeelding te sturen of hem naar een website te lokken, waarna de kwaadaardige code die toegang tot de ReadyNAS geeft wordt uitgevoerd.

Firmware-update

Beveiligingsonderzoeker Craig Young van Tripwire ontdekte de kwetsbaarheden in de ReadyNAS en zegt dat hij meer dan 10.000 apparaten aantrof die direct via HTTP of HTTPS of benaderbaar waren. Drie maanden geleden publiceerde Netgear een firmware-update om het probleem op te lossen. Het grootste deel van de gebruikers zou de update nog niet geïnstalleerd hebben.

Via de zoekmachine Shodan vond Young meer dan 10.000 ReadyNAS-apparaten. Hij analyseerde er 2.000 van en ontdekte dat 73% ongepatcht was. Gebruikers krijgen dan ook het dringende advies om naar versie 4.2.24 of 4.1.12 of nieuwer te updaten.

Reacties (3)
23-10-2013, 10:38 door Anoniem
Zijn die beveiligingsonderzoekers allemaal zo naief?
Je leest dat regelmatig, "er is een firmware update maar niet iedereen heeft hem geinstalleerd".
Het verbaast me dat er uberhaupt mensen zijn die hem geinstalleerd hebben.

Wie gaat er nou de hele tijd controleren bij alle fabrikanten van de apparatuur die hij in huis heeft of er misschien
een beveiligingsupdate is? Dat doet misschien een deel van de bezoekers van dit forum, maar de gewone
thuisgebruiker doet dat echt niet hoor!

Als er geen automatisch update mechanisme in zo'n apparaat zit dan ga er maar vanuit dat het zijn hele
levensduur met de door de fabriek geinstaleerde firmware zal werken. Een update komt er hooguit op als er
iets met de basisfunctionaliteit verschrikkelijk fout is, de gebruiker de winkel of de helpdesk benadert, en dan
als oplossing een update geinstalleerd wordt. Anders niet.
23-10-2013, 14:01 door RickDeckardt
NEGERen? Discriminatie! Het zou verboden moeten worden ;o)

Helaas dat gebruikers gebruikers zijn en geen specialisten op het gebied van IT en beveiliging...
Maar met dit soort mensen hebben we wel te maken in de beveiligingsindustrie. Vooral bij het type 'zet weg en denk er niet meer aan'-producten worden updates gewoon niet gedaan, tenzij automatisch.

Daarom moeten producenten meer verantwoordelijk worden gehouden voor het verkopen van lekke apparatuur, vooral als het gaat om een 'feature' als deze.
12-04-2014, 01:13 door Anoniem
En je hebt wellicht updates die er juist voor zorgen dat er gaten ontstaan voor veiligheidsdiensten bijvoorbeeld. Het wordt echt een kat en muis spel zo.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.