Personal Cloud: Seagate sichert NAS gegen Fernzugriff ab
In Netzwerkspeichern des Herstellers Seagate stecken Bugs, die mit einigem Aufwand für den Remote-Zugriff missbraucht werden können. Ein Firmware-Update behebt das Problem.
(Bild: dpa, Oliver Berg/Symbolbild)
Ältere Versionen der NAS-Firmware für "Personal-Cloud"-Geräte von Seagate weisen zwei Programmierfehler auf, die einem entfernten Angreifer unter bestimmten Voraussetzungen das Ausführen gerätespezifischer Befehle, das Aktivieren des SSH-Zugriffs sowie das Ändern des Root-Passworts ermöglichen können.
Wie aus einer detaillierten Beschreibung des Sicherheitssoftware-Herstellers Beyond Security hervorgeht, stecken die Bugs in der Webanwendung Media Server, die Nutzern die Datenverwaltung erleichtern soll. Da die Webanwendung nur über das lokale Netzwerk erreichbar ist, ist das Ausnutzen der Schwachstellen allerdings nicht ganz trivial: Um aus der Ferne mit dem NAS zu interagieren, müsste der Angreifer zunächst einen Nutzer im lokalen Netzwerk – etwa mittels Phishing oder Malvertising – zum Aufruf bestimmter URLs bewegen.
Zügiger Umstieg auf NAS OS 4.3.18 empfohlen
Nach eigenen Angaben informierte Beyond Security Seagate bereits im Oktober 2016 über die Bugs. Zwar habe das Unternehmen die Kenntnisnahme bestätigt, anschließend jedoch keinen Sicherheitshinweis oder Details zu geplanten Updates veröffentlicht. Mittlerweile hat Seagate die Bugs jedoch gefixt. Personal-Cloud-Besitzer sollten deshalb möglichst schnell auf die abgesicherte NAS-OS-Version 4.3.18.0 umsteigen. (ovw)
