Sicherheitsforscher OJ Reeves berichtet in seinem Blog von kritischen Lücken im Webinterface der Seagate Business NAS, durch welche sich ein Angreifer als Admin anmelden und Code als root ausführen kann. Davon betroffen ist die aktuelle Version 2014.00319 und die Version 2013.60311.

Dem Sicherheitsforscher nach wird vom Webinterface ein Cookie mit verschlüsselten Daten beim Nutzer gesetzt. Werden diese Daten entschlüsselt – auf allen Geräten ist der genutzte Krypto-Schlüssel identisch – erscheinen Zeichenfolgen wie "is_admin". Wird dahinter ein "yes" gesetzt und die Daten anschließend wieder verschlüsselt, wird als Admin auf das Interface zugegriffen. Reeves ist durch eine Kombination mit weiteren Lücken gelungen, Code als root auszuführen. Er hat ein Metasploit-Modul veröffentlicht, um dies zu veranschaulichen.

Bis heute steht keine abgesicherte Firmware zum Download bereit. Betreiber eines Business NAS von Seagate sollten daher sicherstellen, dass das Webinterface nicht über das Internet erreichbar ist.

(nd, hannover)

(siehe auch heise-Security:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE