Kritische Lücke in LG Network Storage-Einheiten gefunden

Betreibt ihr LG Network Storage-Einheiten (NAS) im Firmenumfeld oder privat? Dann heißt es handeln, denn Sicherheitsforscher haben eine (bisher ungepatchte) kritische Remote Code Execution-Lücke gefunden.


Anzeige

The Hacker News empfiehlt hier, die betroffenen Geräte von LG Electronics offline zu nehmen, um sensible Daten zu schützen.

Worum geht es?

Das Network Attached Storage (NAS)-Gerät von LG ist eine Dateispeichereinheit, die an ein Netzwerk angeschlossen ist und es Benutzern ermöglicht, Daten zu speichern und mit mehreren Computern zu teilen. Autorisierte Benutzer können auch über das Internet auf ihre Daten zugreifen.

Nun hat ein Sicherheitsforscher vollständige technische Details einer nicht gepatchten kritischen Schwachstelle bei der Ausführung von Remote-Befehlen in verschiedenen LG NAS-Gerätemodellen aufgedeckt. Diese können es Angreifern ermöglichen, Geräte zu gefährden und auf ihnen gespeicherte Daten zu stehlen.

Die Sicherheitslücke

Die Schwachstelle wurde vom einem vom Datenschutzbeauftragten von VPN Mentor beauftragten Sicherheitsforscher entdeckt und publiziert. VPN Mentor hatte erst kürzlich über Fehler in VPN-Produkten berichtet (siehe Drei populäre VPN-Dienste leaken die IP-Adresse).

Der Fehler in den LG NAS-Geräten basiert auf auf einer Remote Command Injection-Schwachstelle, da keine Authentifizierung stattfindet. Die Passwort-Abfrage beim Login über Remote-Verbindungen lässt sich dazu missbrauchen. Ein Angreifer könnte über das Paswort-Feld der Login-Seite Systemkommandos absetzen.

nas-device-hacking
(Quelle: The Hacker News)

In nachfolgendem Video demonstrieren die Sicherheitsforscher, wie Angreifer diese Schwachstelle ausnutzenkönnen, um zunächst eine einfache, persistente Shell auf die mit dem Internet verbundenen anfälligen Speichergeräte zu schreiben.

Mit Hilfe dieser Shell können Angreifer dann problemlos weitere Befehle ausführen, von denen einer auch den Download der kompletten Datenbank der NAS-Geräte, einschließlich der E-Mails der Benutzer, Benutzernamen und mit MD5 gehashten Kennwörter ermöglicht.


Anzeige

(Quelle: YouTube)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Kritische Lücke in LG Network Storage-Einheiten gefunden

  1. Paul Brusewitz sagt:

    LG sollte es mit NAS einfach lassen, sage ich aus eigener Erfahrung. Mehr möchte ich nicht sagen, sonst rege ich mich nur auf.

    MfG P.B.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.