Lekken in Seagate NAS
Dat stelt de Australische beveiligingsexpert O.J. Reeves van Beyond Binary. Producten uit de Seagate Business Line tot en met versie 2014.00319, werken met oude versies van PHP, Codelgniter en Lighttpd die lekken bevatten.
Shutterstock
Shutterstock
Vooral het lek in het PHP-framework Codelgnitter is problematisch. Dit is een combinatie van twee zwakke plekken. De ene biedt de mogelijkheid aan gebruikers om een encryptiesleutel te achterhalen en de content van een cookie te ontsleutelen. Die content kan dan vervolgens gewijzigd worden, weer versleuteld en teruggestuurd worden naar de server. Daarmee kan die server makkelijk doelwit worden van aanvallen. Daarnaast werken alle getroffen NAS-units met dezelfde encryptiesleutel voor alle Codelgniter-instances. Volgens Reeves vereist Codelgniter een sleutel om cookies te versleutelen. Daarmee kun je een bestaand cookie voor een andere machine gebruiken zodat je zeer hoge priviliges krijgt voor die machine. Dat maakt misbruik eenvoudig.
Reeves meldt aan nieuwsdienst The Register dat hij de lekken vond bij een routine-scan van een netwerk van een klant. Seagate heeft gemeld dat het de “juiste acties zal nemen om dit probleem op te lossen.”
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee