Kritiek lek in Seagate NAS-systemen ontdekt

[Captain Kirk]

Een onderzoeker heeft een kritiek lek in verschillende NAS-systemen van harde schijffabrikant Seagate ontdekt waardoor een aanvaller mogelijk duizenden van deze apparaten op internet kan overnemen, maar ondanks een maandenlange communicatie over het probleem is er nog altijd geen update voor getroffen gebruikers beschikbaar.

Het probleem speelt in de Seagate Business NAS-systemen, die volgens de onderzoeker van Beyond Binary zowel door consumenten als bedrijven worden gebruikt. Via de systemen is het mogelijk om data op te slaan en te delen. Voor het aanmaken van gebruikers, instellen van toegangsrechten, beheren van bestanden en andere zaken zijn de NAS-systemen van een webmanagementapplicatie voorzien.

De onderzoeker ontdekte dat deze applicatie op drie verouderde technologieën is gebaseerd, namelijk PHP versie 5.2.13 (2010), CodeIgniter 2.1.0 (2011) en Lighttpd 1.4.28 (2010). De gebruikte versies van PHP en CodeIgniter bevatten verschillende kwetsbaarheden. Daarnaast werden in de door Seagate ontwikkelde applicatie ook problemen aangetroffen. Een aanvaller die het sessiecookie aanpast kan daardoor uiteindelijk code als de gebruiker "root" uitvoeren.

Inmiddels zijn er een Metasploitmodule en een Pythonscript ontwikkeld waarmee kwetsbare systemen kunnen worden aangevallen. De vereiste is wel dat de NAS-systemen via internet toegankelijk zijn. Een zoekopdracht via de Shodan-zoekmachine leverde meer dan 2500 mogelijk kwetsbare NAS-systemen op. Het probleem is getest en bevestigd op NAS-systemen met firmware 2014.00319 en 2013.60311, maar de onderzoeker stelt dat in principe alle firmware-versies kwetsbaar zijn.

Impact

Naast de toegang tot gegevens kan een aanval op de NAS-systemen binnen een organisatie nog veel grotere gevolgen hebben. De NAS-systemen werken namelijk niet samen met Active Directory of LDAP. Daardoor moeten ze het wachtwoord voor elke gebruiker die toegang nodig heeft lokaal opslaan. Deze wachtwoorden worden via het kwetsbare MD5-hashingalgoritme gehasht. Volgens de onderzoeker bevatten de NAS-systemen die bij bedrijven staan ongetwijfeld wachtwoorden die door domeingebruikers worden hergebruikt. Een aanvaller die toegang tot de NAS heeft kan zodoende de MD5-hashes stelen en kraken en zo de domeingegevens achterhalen.

Update

Ondanks de ernst van het probleem is er nog geen update beschikbaar en het is de vraag of die er ook zal komen. Op 7 oktober 2014 rapporteerde de onderzoeker het probleem aan Seagate. Vervolgens volgden allerlei berichten, waarbij het lastig voor de onderzoek bleek om de juiste persoon te pakken te krijgen. Pas eind januari kon een werknemer van Seagate het probleem reproduceren via de meegeleverde exploit. De onderzoeker stelde op 17 januari dat hij het probleem op 1 maart bekend wilde maken.

Dit leidde echter niet tot een update, want afgelopen donderdag stelde Seagate dat er nog geen oplossing beschikbaar is. Gebruikers die zich willen beschermen krijgen dan ook het advies om de NAS-systemen niet via het publieke internet toegankelijk te maken en de apparaten achter een firewall te plaatsen en alleen verschillende betrouwbare IP-adressen toegang te geven.

 

bron: security.nl