Zero-Day-Lücken in Seagates Business NAS

Wer ein Business-NAS von Seagate nutzt, sollte sicherstellen, dass es nicht über das Internet erreichbar ist. Im Webinterface klaffen kritische Lücken, zu denen bereits ein passender Exploit kursiert.

In Pocket speichern vorlesen Druckansicht 22 Kommentare lesen
Zero-Day-Lücken in Seagates Business NAS
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Im Webinterface der Seagate Business NAS klaffen offenbar kritische Lücken, durch die sich ein Angreifer als Admin anmelden und sogar Code als root ausführen kann. Dies berichtet der Sicherheitsforscher OJ Reeves in seinem Blog. Betroffen ist neben der Firmware 2013.60311 auch die die aktuelle Version 2014.00319. Demnach setzt das Webinterface beim Nutzer ein Cookie mit verschlüsselten Daten. Entschlüsselt man diese – der genutzte Krypto-Schlüssel ist auf allen Geräten identisch – kommen Zeichenfolgen wie "is_admin" ans Tageslicht. Wenn man dahinter ein "yes" setzt und die Daten anschließend wieder verschlüsselt, kann man fortan als Admin auf das Interface zugreifen.

Durch eine Kombination mit weiteren Lücken ist es Reeves gelungen, Code ins NAS einzuschleusen und als root auszuführen. Zu Veranschaulichung des Problems hat er ein Metasploit-Modul veröffentlicht. Reeves gibt an, Seagate bereits vor über vier Monaten auf die Sicherheitsprobleme aufmerksam gemacht zu haben. Durch ein von ihm bereitgestelltes Proof-of-Concept soll das Unternehmen die Lücken erfolgreich nachvollzogen haben. Dennoch steht bis heute keine abgesicherte Firmware zum Download bereit. Wer ein Business NAS von Seagate betreibt, sollte daher sicherstellen, dass sein Webinterface nicht über das Internet erreichbar ist. (rei)