DKCert advarer: Alvorlig nul-dages sårbarhed i Seagate disksystemer

Der er et alvorligt sikkerhedshul i softwaren til Seagates disksystemer. Nul-dages sårbarheden er endnu ikke rettet, på trods af, at Seagate fik en detaljeret gennemgang af problemet af en sikkerhedsforsker for 130 dage siden.

Læs mere
Fold sammen

It-sikkerhedsorganisationen DKCert advarer om det, de kalder et >>alvorligt sikkerhedshul<< i disksystemer fra Seagate. Nul-dages sårbarheden lader angribere afvikle programkode, og der er ingen rettelse til fejlen

Hullet er opdaget af O. J. Reeves, der er sikkerhedsforsker og såkaldt white-hat hacker - altså en godsindet hacker. Han gjorde efter sigende Seagate opmærksomme på problemet for 130 dage siden. Først blev problemet ikke taget seriøst, og sidenhen var der langt mellem svarene. På iDigitalTimes kan man læse en lang beskrivelse af det absurde forløb, O. J. Reeves havde, da han forsøgte at råbe vagt i gevær. O. J. Reeves siger til iDigitalTimes, at han valgte at offentliggøre sårbarheden, fordi der er mange berørte enheder, og fordi Seagate ikke tog problemet alvorligt. Det skriver Version2.

Sårbarheden er fundet i en række NAS-produkter, der markedsføres under navnet Business Storage 2-Bay NAS. Disse enheder har en webklient, der tillader konfiguration af enheden, håndtering af filer og lignende.

Sårbarheden gør det muligt for hackere, der er forbundet til samme netværk som NAS-enheden, at tage komplet kontrol over enheden med rod-adgang uden at have et gyldigt login. Ved hjælp af søgemaskinen Shodan fandt O. J. Reeves 2.500 enheder på internettet, han kunne udnytte sikkerhedshullet på. Shodan gør det muligt at søge blandt såkaldt internet of things-enheder og webkameraer.

Version2 beretter at sårbarheden berører den seneste Seagate NAS firmware, og ifølge O. J. Reeves er det sandsynligt, at sårbarheden også er på alle tidligere udgaver.

Du kan læse mere om O. J. Reeves opdagelse af sikkerhedshullet, kontakten med Seagate og mere på sikkerhedsforskerens blog.

Seagate er verdens andenstørste leverandør af storage hardware, og virksomheden sidder på 41 procent af verdensmarkedet.