Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 2/3/2015
Et alvorligt sikkerhedshul i disksystemer fra Seagate lader angribere afvikle programkode. Der er ingen rettelse til fejlen.Sårbarheden findes i Seagate Business Storage 2-Bay NAS. Enheder med firmware til og med den nyeste version, 2014.00319, er sårbare.
Firmwaren indeholder en web-administrationsapplikation bygget med forældede teknologier: PHP fra 2010, CodeIgniter fra 2011 og Lighttpd fra 2010.
Sikkerhedsforsker O.J. Reeves har udviklet et angrebsprogram, der demonstrerer, at sårbarhederne kan udnyttes i praksis. Det kræver kun, at disksystemet kan nås fra internettet.
Seagate har oplyst til ham, at de ikke har planer om at rette fejlene.
Anbefaling
Brugere af de berørte systemer skal placere dem bag en firewall, så de ikke kan nås fra internettet.
Links
- Advisory: Seagate NAS Remote Code Execution Vulnerability, advarsel fra O.J. Reeves
- Seagate NAS 'Zero Day' Leaves Thousands Vulnerable: One Hacker's Painful Story Of Failed Disclosure Proceedings, artikel fra iDigitalTimes
- Advisory: Seagate NAS Remote Code Execution, blogindlæg fra SANS Internet Storm Center