NAS-systemen van Seagate bevatten ernstige kwetsbaarheid

Een reeks NAS-systemen van Seagate blijkt een ernstige kwetsbaarheid te bevatten, waardoor gebruikers op afstand code kunnen laten uitvoeren op de systemen. Het gaat om de Business Storage 2-bay NAS. De vinder stelt contact te hebben gehad met Seagate, dat na maanden nog steeds geen oplossing heeft gelanceerd.

Onderzoekers van Beyond Binary schrijven in een blogpost dat producten binnen deze productlijn die draaien op firmwareversies tot en met 2014.00319 kwetsbaar zijn voor verschillende problemen die het mogelijk maken op afstand code uit te voeren als een beheerder. Hiervoor hoeven aanvallers zich op geen enkele wijze op het apparaat te autoriseren.

Web-enabled managementapplicatie

Het probleem zit in een web-enabled managementapplicatie dat bij de NAS-systemen wordt geleverd. Deze applicaties stelt beheerders in staat de NAS-systemen te beheren en onder ander gebruikers toe te voegen, toegangsrechten in te stellen en bestanden te beheren. De applicatie is echter gebaseerd op een aantal zeer verouderde technologieën, waarvan bekend is dat zij kwetsbaarheden bevatten:

• PHP version 5.2.13 (gelanceerd op 25 februari 2010) 25th February 2010)
• CodeIgniter 2.1.0 (gelanceerd op 23 november 2011) Lighttpd 1.4.28 (gelanceerd op 22 augustus 2010)

Getroffen firmwareversies

De onderzoekers geven aan versie 2014.00319 en 2013.60311 te hebben onderzocht. Beide firmwareversies blijken de kwetsbaarheden te bevatten. De onderzoekers waarschuwen dat de verouderde software waarschijnlijk ook in alle voorgaande firmwareversies is gebruikt.

In de blogpost is ook een tijdslijn opgenomen, waaruit blijkt dat de bug al op 7 oktober is ontdekt. Op 8 oktober is een Proof-of-Concept gecreëerd, die in de weken hierop is gefinetuned. De onderzoekers stellen op 18 oktober 2014 bij Seagate aan de bel te hebben getrokken. Tot op de dag van vandaag is er echter nog geen firmwareversie beschikbaar waarin de problemen zijn verholpen.