Hackare kan få tillgång till tusentals NAS-enheter via säkerhetshål

Vad menar du att alternativet är? Att D-Link uppdaterar enheterna så länge det finns >0 i bruk?

Man kan ju exponera dessa utåt med en VPN. Har faktiskt en DNS-320L liggande i "bra att ha skåpet" hemma.

Ramlade på den här idag i någon (tråkig) youtube-video: CVE-2024-1086 A use-after-free vulnerability in netfilter. (Netfilter bypass, kernel execution)

From (including) 3.15   Up to (excluding) 6.1.76
From (including) 6.2    Up to (excluding) 6.6.15
From (including) 6.7    Up to (excluding) 6.7.3

Universal local privilege escalation Proof-of-Concept https://github.com/Notselwyn/CVE-2024-1086

Tänk också på att tillverkare som Synology som är mer specialiserade på NAS har mycket bättre support än D-Link. Statistiskt sett kan du räkna med minst 10-12 år av säkerhetsuppdateringar om du köper en Synology av senaste modellen idag.

Sedan handlar det också om hur mycket man väljer att exponera ut mot Internet. Oavsett om jag körde Open Source eller något färdigpaketerat skulle jag vara mycket sparsam med att tillåta åtkomst utifrån. Det kan såklart vara praktiskt ibland, men det går att lösa med t.ex. en VPN-server (på separat enhet) istället för de förenklade inbygga funktionerna för remote access.

Din billiknelse kan vara väldigt slående i framtiden då trenden går mot att de också vara uppkopplade som rullande IoT-prylar. Hoppas ingen tillverkare bygger dem så att uppkoppling blir ett krav för annat än bonusfunktioner. Då kan den sista uppdateringen vara att stänga ner uppkopplingen

Jo...
Men man kan väl inte förvänta sig att gamla system har stöd i all evighet?

Exempelvis de flesta som gör nya program testar inte/garanterar inte kompatibilitet med Windows XP för att det är över 20 år gammalt (och inte längre stöds av Microsoft).

Vad är rimlig period att ge service?
3 år, 5 år, 10 år, 15 år, 20 år, 50 år, 100 år ?

Jag googlade på "dns-320l"
Hittade någon sida från D-Link som sa att den var utfasad i November 2017.
Om de är då de slutade säljas eller slutade tillverkas eller vad det betyder?
De stod även att de hade support till November 2019.

På D-Links sida såg jag inte när de lanserades.
Men en annan sida skrev Oktober 2012 som release datum.

Nu har jag inte sökt på de andra modellerna.
Men verkar väl sannolikt att de är från runt 2012-2013 eller däromkring.

12 år gammal bil slänger vi i havet lol

Är väl kanske inte rimligt att de måste uppdatera enheter i all evighet.
Men det hade ju inte skadat om de släppte en open source variant av mjukvaran till enheterna när de går EOL. Behöver inte ha massor av specialfunktioner utan bara grundläggande funktionalitet.

Önsketänkande dock då det kostar företaget pengar, de måste kanske röja speciella funktioner/tekniker samtidigt som detta leter till att folk inte tvingas köpa nytt. Så incitamentet är ju nära noll.

Men bra goodwill om inte annat.

Själv har jag inte för avsikt att exponera den direkt mot internet. Känns ändå riskabelt utan säkerhetsuppdateringar även om den är bakom routern på samma nätverk som allt annat i huset. Eller är jag onödigt försiktig här?

Eller bara inte släpa farliga produkter som behöver uppdateringar från början.

Min Synology-NAS är köpt 2012 och får fortfarande uppdateringar. Man bör kräva möjlighet till uppdateringar även om man inte får nya funktioner. Alternativt att man släpper lös så valfritt OS kan installeras.

Här är en av de stora anledningarna till varför jag inte vill ha en färdig nas, det andra är priset vad man får (ofta stora begränsningar)

Hellre usb-hdd eller en egen server

Jag tänker att företag som gnäller över att de behöver uppdatera sina egna produkter borde bli tvingade att inse att det är deras ansvar för att de har gjort fel från början.

Säkerhetshål och liknande är deras fel.

Njae det är inte riktigt sant, min kompis fick sin 2009 Fords airbag utbytt pga ett säkerhetsproblem med deras airbags som upptäckts och då va bilen mer 10år gammal. Så i detta fallet skulle det motsvara att D-Link faktiskt drar fram sin gamla mjukvara och gör en patch och täpper säkerhetshålet .

Nu kan jag inte CGI-skripting, men det är väl inte så mycket att uppdatera mer än att kontrollera mot tomt lösenord och särskilt långt lösenord? Vad förstått så kommer väl inte system_command att köras omedelbart efter konvertering från base64? Åtminstone lägg lösenordskontrollen FÖRE den exekveringen!

# Parse query params
user = get_query_parameter("user")
password = get_query_parameter("passwd")
cmd = get_query_parameter("cmd")

# This param is ONLY decoded, not "executed" as of yet!
system_command = decode_base64(get_query_parameter("system"))

# Check password NOT empty AND is correct
if password:
    if password != "mataIn_VärldenLängsta#Lösenord?Med&Världens¤Högsta!Entrop-iHärGärnaMedTeckenSomIngenGrönsaksHackareKännerTill!":
        return_error(403, "I am a virtual teapot!")

Om koden ovan körs före någon exekvering av det som är lagrat i "system" (hur nu det går till som) så bör det väl ha ordnats sig? Nu behöver man "bara" åtkomst till CGI-filen antar jag? Eller är det mycket mer invecklat än så i detta fall?

Mvh,
WKL.

Ett annat alternativ är att de tillåter installation av andra operativsystem än deras eget, då kan hårdvaran snurra på så länge användaren orkar fixa. Det känns som ett rimligt grepp för att förhindra e-waste.

Mycket smidigare att bygga en egen server. Själv kör jag proxmox med openmediavault, plex, ad guard mm bakom opnsense. Mjukvaran håller sig uppdaterad och skulle något sluta utvecklas får man väl helt enkelt köra nått annat men man är iallafall inte begränsat till mjukvara från en tillverkare för en specifik produkt som i dagens hets når EOL väldigt snabbt.

Äldre bilar som inte hade någon form av uppkopplade tjänster åldras nog bättre än nya bilar som visserligen kan få nya/uppdaterade funktioner, men bara så länge tillverkaren vill.

Om vi går på ännu äldre bilar så kan man säga att en förgasare inte slutar att fungera för att Internet är nere.

Men även om en bil ska sluta användas så brukar inte "slänga den i havet" vara det sätt man hanterar skrot.
Finns bilskrotar som antingen demonterar själva och säljer delar eller låter kunder demontera delar mot betalning.

Metall kan smältas ner för att använda till nya produkter.

Du kan lämna in gammal elektronik till återvinningscentral.
Du behöver inte slänga saker i havet för att du inte använder dem längre.

Panta mera.