DKCert advarer: Alvorlig nul-dages sårbarhed i Seagate disksystemer

2. marts 2015 kl. 14:501
Der er et alvorligt sikkerhedshul i softwaren til Seagates disksystemer. Nul-dages sårbarheden er endnu ikke rettet, på trods af, at Seagate fik en detaljeret gennemgang af problemet af en sikkerhedsforsker for 130 dage siden.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

It-sikkerhedsorganisationen DKCert advarer om det, de kalder et >>alvorligt sikkerhedshul<< i disksystemer fra Seagate. Nul-dages sårbarheden lader angribere afvikle programkode, og der er ingen rettelse til fejlen.

Hullet er opdaget af O. J. Reeves, der er sikkerhedsforsker og såkaldt white-hat hacker - altså en godsindet hacker. Han gjorde efter sigende Seagate opmærksomme på problemet for 130 dage siden. Først blev problemet ikke taget seriøst, og sidenhen var der langt mellem svarene. På iDigitalTimes kan man læse en lang beskrivelse af det absurde forløb, O. J. Reeves havde, da han forsøgte at råbe vagt i gevær. O. J. Reeves siger til iDigitalTimes, at han valgte at offentliggøre sårbarheden, fordi der er mange berørte enheder, og fordi Seagate ikke tog problemet alvorligt.

Sårbarheden er fundet i en række NAS-produkter, der markedsføres under navnet Business Storage 2-Bay NAS. Disse enheder har en webklient, der tillader konfiguration af enheden, håndtering af filer og lignende.

Sårbarheden gør det muligt for hackere, der er forbundet til samme netværk som NAS-enheden, at tage komplet kontrol over enheden med rod-adgang uden at have et gyldigt login. Ved hjælp af søgemaskinen Shodan fandt O. J. Reeves 2.500 enheder på internettet, han kunne udnytte sikkerhedshullet på. Shodan gør det muligt at søge blandt såkaldt internet of things-enheder og webkameraer.

Artiklen fortsætter efter annoncen

Sårbarheden berører den seneste Seagate NAS firmware, og ifølge O. J. Reeves er det sandsynligt, at sårbarheden også er på alle tidligere udgaver.

Du kan læse mere om O. J. Reeves opdagelse af sikkerhedshullet, kontakten med Seagate og mere på sikkerhedsforskerens blog.

Seagate er verdens andenstørste leverandør af storage hardware, og virksomheden sidder på 41 procent af verdensmarkedet.

Emner
1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
Bent Jensen
2. marts 2015 kl. 16:15

Hvis nogen hackes. Men Seagate har nok fraskreven sig alt ansvar i Slutbrugerlicensaftale, derfor har de heller ingen grund til at gøre noget ved det. At rette fejl koster ressourcer der kan bruges på salg og marketing. Selv om dette måske vil koste nogen kunder, og udgifter til Advokater. Desuden kan vi ikke lukket et hul NSA har betalt os for at lave, og da det ikke er dokumenteret nogen steder, hvorledes skulle det så misbruges.

  • more_vert
    • insert_linkKopier link