Beveiligingsprobleem in Seagate NAS *update 10-3*

Deze blog gaat voornamelijk over Synology DiskStation NAS systemen omdat dat ik daar het meeste van weet. Maar als systeembeheerder gaat mijn interesse ook zeer uit naar beveiligingsproblemen en oplossingen. Vandaar dat ik ook blog over belangrijke problemen bij overige (voor al NAS) beveiligingsproblemen.

Gelukkig neemt Synology de beveiliging van hun producten de laatste tijd er serieus, sinds de problemen met de bitcoin-miners

Seagate NAS

Er is door OJ Reeves een probleem ontdekt in seagate_logo_3664de NAS-systemen van Seagate, het is hierdoor mogelijk om in te logen als rootgebruiker. Hierdoor is het mogelijk om het hele systeem over te nemen. Het is dan ook mogelijk om wachtwoorden van gebruikers te achterhalen die zijn aangemaakt op het systeem.

OJ Reeves heeft contact opgenomen met Seagate in oktober 2014, maar Seagate is erg laks met het probleem op te lossen, daarom heeft hij het het beveiligingsprobleem openbaar gemaakt. Voor meer informatie zie hier (engels)

Er is op dit moment nog geen patch voor het probleem.

Advies

Zorg er voor dat inlog-pagina (web) niet te bereiken is vanaf het internet. De ervaring is dat er binnen een paar dagen gebruikt gemaakt gaat worden van dit probleem.

Als er meer informatie is zal ik deze blog updaten

Voor meer informatie zie: Advisory: Seagate NAS Remote Code Execution Vulnerability

Update 10 maart 2015

Seagate heeft de lek als bestempeld als 'laag risico' en adviseert om de NAS niet bereikbaar te maken vanaf het Internet door UPnP Port Forwarding uit te schakelen of handmatig port fowarding van port 80 en 443 uit te schakelen. Er komt een paths in mei 2015.

Increase the Security on your Seagate Business Storage NAS

OJ Reeves is het niet eens met de analyse en vindt Seagate erg laks reageren. Zie zijn nieuwe blog voor meer informatie:

Opinion: Seagate's Analysis is Incorrect

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *