Deze blog gaat voornamelijk over Synology DiskStation NAS systemen omdat dat ik daar het meeste van weet. Maar als systeembeheerder gaat mijn interesse ook zeer uit naar beveiligingsproblemen en oplossingen. Vandaar dat ik ook blog over belangrijke problemen bij overige (voor al NAS) beveiligingsproblemen.
Gelukkig neemt Synology de beveiliging van hun producten de laatste tijd er serieus, sinds de problemen met de bitcoin-miners
Seagate NAS
Er is door OJ Reeves een probleem ontdekt in 
de NAS-systemen van Seagate, het is hierdoor mogelijk om in te logen als rootgebruiker. Hierdoor is het mogelijk om het hele systeem over te nemen. Het is dan ook mogelijk om wachtwoorden van gebruikers te achterhalen die zijn aangemaakt op het systeem.
OJ Reeves heeft contact opgenomen met Seagate in oktober 2014, maar Seagate is erg laks met het probleem op te lossen, daarom heeft hij het het beveiligingsprobleem openbaar gemaakt. Voor meer informatie zie hier (engels)
Er is op dit moment nog geen patch voor het probleem.
Advies
Zorg er voor dat inlog-pagina (web) niet te bereiken is vanaf het internet. De ervaring is dat er binnen een paar dagen gebruikt gemaakt gaat worden van dit probleem.
Als er meer informatie is zal ik deze blog updaten
Voor meer informatie zie: Advisory: Seagate NAS Remote Code Execution Vulnerability
Update 10 maart 2015
Seagate heeft de lek als bestempeld als 'laag risico' en adviseert om de NAS niet bereikbaar te maken vanaf het Internet door UPnP Port Forwarding uit te schakelen of handmatig port fowarding van port 80 en 443 uit te schakelen. Er komt een paths in mei 2015.
Increase the Security on your Seagate Business Storage NAS
OJ Reeves is het niet eens met de analyse en vindt Seagate erg laks reageren. Zie zijn nieuwe blog voor meer informatie: