Seagate patcht heimlich gefährlichen Bug in NAS-Geräten

[English]Noch eine Information für Betreiber von NAS-Geräten der Firma Seagate. Seagate hat eine Sicherheitslücke in der Firmware des Seagate Personal Cloud Home Media Storage behoben.


Anzeige

Beim NAS-Produkt (Network Attached Storage) Seagate Personal Cloud Home Media geht es um den Media Server – eine recht beliebte Funktion in solchen Systemen im Heimbereich.

Unauthentifizierte Befehlsinjektionen gefunden

Der Media Server der Seagate Personal Cloud Home NAS-Laufwerke ist über UPNP und DLNA erreichbar (siehe). Die Oberfläche des Media Servers läuft auf einer Django (Python)-Anwendung. Sicherheitsforscher Yorick Koster entdeckte, dass, wenn ein Angreifer fehlerhafte Anfragen an zwei Dateien (getLogs und uploadTelemetry) stellt, kann er die Anwendung dazu bringen, Befehle auf dem betreffenden (NAS) Gerät auszuführen.

Diese unauthentifizierte Command Injection ermöglicht es Angreifern, über die Webverwaltungsoberfläche Befehle auf der zugrunde liegenden Firmware des Geräts auszuführen. Koster entwickelte einen Proof-of-Concept-Code, der den Fehler ausnutzen kann. Er kann den Remote-SSH-Zugriff auf dem NAS von Seagate ermöglichen und das Root-Passwort ändern.

Bug nicht so einfach ausnutzbar

Bleeping Computer schreibt hier, dass diese Sicherheitslücke nur schwierig auszunutzen ist. Der Zugriff auf den Medien Server ist nur aus einem lokalen Netzwerk möglich. Der Angreifer müsste den Benutzer dazu bringen, (z.B. über eine Phishing-Mail) auf die fehlerhafte URL zuzugreifen, während er sich im selben Netzwerk (LAN) mit dem NAS-Gerät befindet.

Ein Angreifer könnte eingebetteten Angriffscode verwenden, um die Schwachstelle in den NAS-Geräte von Seagate auszunutzen. Greift der NAS-Besitzer auf eine Website mit dem bösartigen Code zu, hätte der Code Zugriff auf das anfällige NAS-Gerät. Das DNSChanger Exploit-Kit nutzt diesen Trick, um Router und IoT-Geräte in geschlossenen lokalen Netzwerken anzugreifen.

Seagate patcht in aller Stille

Sicherheitsforscher Koster hat sich an das SecuriTeam-Programm von Beyond Security gewandt, die dann Seagate im Namen von Koster über das Problem informierten. "Seagate wurde am 16. Oktober über die Schwachstelle informiert", schreibt das SecuriTeam in diesem Advisory (gelöscht). Seagate bestätigte zwar den Erhalt der Informationen, weigerte er sich, auf die technischen Inhalte zu antworten. Auch wurde kein Zeitplan für Patches genannt und jegliche Kooperation verweigert.

Gegenüber Bleeping Computer gibt Sicherheitsforscher Koster an, dass Seagate die Sicherheitslücke wohl heimlich um die beiden berichteten Schwachstellen gepatcht hat. Laut Koster ist sein NAS gefixt; er verweist auf den Changelog zur Firmware des Seagate Personal Cloud Home Media Storage für die Version 4.3.18.0. Dort finden sich folgende Informationen:

NAS OS version 4.3.18.0


Anzeige

  • Fix for a security issue with Seagate Media Server API
  • Google Drive Backup/Sync improvements
  • Seagate Media Server Bug fixes

Abschließende Frage: Hat jemand von euch den Seagate Personal Cloud NAS im Betrieb? Und falls ja: Habt ihr etwas von diesem Fix mitbekommen?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Datenträger, Netzwerk, Update abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.