NAS-systemen van Seagate bevatten ernstige kwetsbaarheid

  1. 2 mrt 2015
  2. 0 reacties

Een reeks NAS-systemen van Seagate blijkt een ernstige kwetsbaarheid te bevatten, waardoor gebruikers op afstand code kunnen laten uitvoeren op de systemen. Het gaat om de Business Storage 2-bay NAS. De vinder stelt contact te hebben gehad met Seagate, dat na maanden nog steeds geen oplossing heeft gelanceerd.

Onderzoekers van Beyond Binary schrijven in een blogpost dat producten binnen deze productlijn die draaien op firmwareversies tot en met 2014.00319 kwetsbaar zijn voor verschillende problemen die het mogelijk maken op afstand code uit te voeren als een beheerder. Hiervoor hoeven aanvallers zich op geen enkele wijze op het apparaat te autoriseren.

Web-enabled managementapplicatie

Het probleem zit in een web-enabled managementapplicatie dat bij de NAS-systemen wordt geleverd. Deze applicaties stelt beheerders in staat de NAS-systemen te beheren en onder ander gebruikers toe te voegen, toegangsrechten in te stellen en bestanden te beheren. De applicatie is echter gebaseerd op een aantal zeer verouderde technologieën, waarvan bekend is dat zij kwetsbaarheden bevatten:

  • PHP version 5.2.13 (gelanceerd op 25 februari 2010) 25th February 2010)
  • CodeIgniter 2.1.0 (gelanceerd op 23 november 2011) Lighttpd 1.4.28 (gelanceerd op 22 augustus 2010)

Getroffen firmwareversies

De onderzoekers geven aan versie 2014.00319 en 2013.60311 te hebben onderzocht. Beide firmwareversies blijken de kwetsbaarheden te bevatten. De onderzoekers waarschuwen dat de verouderde software waarschijnlijk ook in alle voorgaande firmwareversies is gebruikt.

In de blogpost is ook een tijdslijn opgenomen, waaruit blijkt dat de bug al op 7 oktober is ontdekt. Op 8 oktober is een Proof-of-Concept gecreëerd, die in de weken hierop is gefinetuned. De onderzoekers stellen op 18 oktober 2014 bij Seagate aan de bel te hebben getrokken. Tot op de dag van vandaag is er echter nog geen firmwareversie beschikbaar waarin de problemen zijn verholpen.

Meer over
Lees ook

Shellshock-bug misbruikt om NAS-systemen aan te vallen

Hackers misbruiken de Shellshock-bug, ook bekend als de Bash-bug, inmiddels op grote schaal. Vooral NAS-systemen zijn populaire doelwitten om aan te vallen. Veel van deze apparaten draaien op Linux en zijn hierdoor kwetsbaar voor de bug in Bash. Beveiligingsonderzoekers van FireEye waarschuwt voor de grote hoeveelheid cyberaanvallen op NAS-systemen waarbij misbruik wordt gemaakt van de Shellshock-bug. De aanvallers geven zichzelf beheerdersrechten op de systemen, waarna zij de volledige controle over het apparaten kunnen overnemen. Onder andere NAS-systemen van fabrikant QNAP zouden een popul1

Bash-bug is mogelijk gevaarlijker dan de Heartbleed-bug

Bash-bug is mogelijk gevaarlijker dan de Heartbleed-bug

Een nieuwe kwetsbaarheid in de command shell Bash maakt veel Linux- en Unix-gebaseerde systemen waaronder Mac's kwetsbaar. Het lek heeft mogelijk meer impact dan de beruchte Heartbleed-bug, waardoor miljoenen websites kwetsbaar bleken te zijn dankzij een fout in OpenSSL. De nieuwe bug geeft aanvallers de mogelijkheid op afstand willekeurige code u1

Microsoft verhelpt probleem dat virusscanner onbruikbaar kon maken

Microsoft verhelpt probleem dat virusscanner onbruikbaar kon maken

Microsoft dicht in een update een kwetsbaarheid in de Malware Protection Engine die het voor aanvallers mogelijk maakte virusscanners uit te schakelen. Deze engine is onderdeel van de beveiligingsoplossingen Security Essentials en Windows Defender. Het probleem is opgespoord door een onderzoeker van Google, die bij Microsoft aan de bel trok. Aanva1