Sicherheitsleck: Fast zwei Mio. NAS-Systeme sollen angreifbar sein

Bei NAS-Servern, die vor allem bei kleinen und mittleren Betrieben und im Privatbereich verwendet werden, haben IT-Experten eine offenbar ernste Lücke im Betriebssystem gefunden. Davor warnt WizCase, für die die beiden Sicherheitsexperten Paulos Yibelo und Daniel Eshetu vier beliebte NAS-Modelle getestet und allesamt als anfällig für Hackerangriffe befunden haben. NAS-Server gelten aufgrund ihrer Flexibiliät als optimale Lösung für kleinere und mittelständische Unternehmen, sind aber auch mittlerweile bei Familien beliebt. Doch nur, weil der Server physisch in den eigenen vier Wänden steht, muss er nicht sicher sein. Das hat das auf VPN- und Sicherheitsthemen spezialisierte Portal WizCase bei einem Test der beliebten Modelle WD My Book, NetGear Stora, Seagate Home und Medion LifeCloud NAS herausgefunden.

Dabei hatte WizCase die Sicherheitsexperten Paulos Yibelo und Daniel Eshetu auf kritische Schwachstellen angesetzt, die Remote ausgeführt werden können.

Zero-Day-Schwachstelle in Millionen NAS-Modellen?

Die getesteten Geräte weisen demnach eine Zero-Day-Schwachstelle bei der Ausführung von Remote Command Execution (Preauth RCE) mit Root-Rechten auf. Dadurch sei es für Angreifer möglich, Dateien zu lesen, Nutzer hinzuzufügen und zu entfernen, bestehende Dateien zu ändern oder zu ergänzen und Befehle auf höchster Ebene auszuführen.

Die Sicherheitslücken soll im NAS-Betriebssystem Axentra Hipserv bestehen, das bei allen vier Geräten werksseitig vorinstalliert ist, aber in zahlreichen anderen Modellen ebenfalls Verwendung findet.

Betroffen sind dadurch mindestens zwei Millionen Geräte, die ans Internet angeschlossen sind, glaubt WizCase. Da die mit CVE-2018-18472 und CVE-2018-18471 bezeichneten Sicherheitslücken zum Zeitpunkt der Veröffentlichung noch bestehen, empfiehlt WizCase, Server vom Internet zu nehmen und beim Hersteller auf einen Patch zu pochen. Um das Problem zu entschärfen, sollten NAS-Systeme von außen nur per VPN (Virtual Private Network) zugänglich gemacht werden.

Western Digital verweist auf die Firewall

Western Digital hat bereits mit einer Stellungnahme reagiert, verweist aber auf das Alter des NAS-Modells. "Der Sicherheitsreport CVE-2018-18472 betrifft Geräte von My Book Live, die ursprünglich zwischen 2010 und 2012 in den Markt eingeführt wurden", heißt es von Western Digital. "Diese Produkte werden seit 2014 nicht mehr hergestellt und nicht mehr durch unsere Softwareunterstützung abgedeckt. Wir möchten die Nutzer, die diese Altgeräte weiter verwenden möchten, dazu bewegen, ihre Firewall so zu konfigurieren, dass ein Fernzugriff auf diese Geräte verhindert wird, und Maßnahmen zu ergreifen, dass nur vertrauenswürdige Geräte auf das lokale Netzwerk zugreifen dürfen."

Download mySteganos Online Shield VPN - VPN-Software mit Zusatzfeatures Download Hotspot Shield VPN - Internetverbindung über VPN Download CyberGhost VPN - Anonymer im Internet surfen