Home / DSM / DSM Kwetsbaarheden / Hard-coded root wachtwoord gevonden in de VPN Software
Image courtesy of Stuart Miles at FreeDigitalPhotos.net
Image courtesy of Stuart Miles at FreeDigitalPhotos.net

Hard-coded root wachtwoord gevonden in de VPN Software

We hebben net het probleem omtrent het minen achter de rug, en steekt er een nieuw probleem de kop op. Het is namelijk mogelijk om op oudere versies van de DSM een openVPN verbinding te maken. Het betreft hier om precies te zijn de OpenVPN oplossing die standaard op DSM software aanwezig is.

De eerste melding over dit probleem kan teruggevonden worden in een forum post van vorig jaar november. Waarin een gebruiker aangeeft dat er met een standaard account een verbinding gemaakt kan worden met het netwerk. Wanneer je een VPN verbinding aanmaakt waarop je authenticeert met root:synopass als gebruikersnaam en wachtwoord kan je direct verbinden.

Verder zal het niet mogelijk zijn om het wachtwoord aan te passen, en is de root gebruiker niet te vinden in de lijst met gebruikers voor de OpenVPN verbinding. De enige oplossing op de geraakte versies lijkt het uitzetten van de OpenVPN module.

Het lijkt een serieus probleem omdat deze inmiddels is opgenomen in de Vulnerability Notes Database. Het  blijkt hier om versie 4.3-3810 update 1 te gaan. De meeste van ons zullen deze versie al niet meer draaien na het laatste probleem van afgelopen maand.

Ik heb het zelf nog even getest, maar kwam er snel achter dat het bij mij niet werkt. Vermoedelijk omdat ik een andere VPN oplossing gebruik dan de OpenVPN oplossing. Ben benieuwd of iemand die nog een oude versie heeft een keer kan testen.

Zie voor meer info: http://www.cvedetails.com/cve/CVE-2014-2264/

About Ronald

Ik ben de trotse bezitter van een DS1513+ en een DS114. De DS212+ die ik hiervoor had vind ik te langzaam om goed Wordpress te kunnen gebruiken. Inmiddels alweer een paar jaar ervaring! Heb je vragen? Stuur mij een berichtje via Hangouts

Geef een reactie