Lekken in Seagate NAS

Dat stelt de Australische beveiligingsexpert O.J. Reeves van Beyond Binary. Producten uit de Seagate Business Line tot en met versie 2014.00319, werken met oude versies van PHP, Codelgniter en Lighttpd die lekken bevatten.

Redactie AG ConnectMeer van deze auteur

Vooral het lek in het PHP-framework Codelgnitter is problematisch. Dit is een combinatie van twee zwakke plekken. De ene biedt de mogelijkheid aan gebruikers om een encryptiesleutel te achterhalen en de content van een cookie te ontsleutelen. Die content kan dan vervolgens gewijzigd worden, weer versleuteld en teruggestuurd worden naar de server. Daarmee kan die server makkelijk doelwit worden van aanvallen. Daarnaast werken alle getroffen NAS-units met dezelfde encryptiesleutel voor alle Codelgniter-instances. Volgens Reeves vereist Codelgniter een sleutel om cookies te versleutelen. Daarmee kun je een bestaand cookie voor een andere machine gebruiken zodat je zeer hoge priviliges krijgt voor die machine. Dat maakt misbruik eenvoudig.

Reeves meldt aan nieuwsdienst The Register dat hij de lekken vond bij een routine-scan van een netwerk van een klant. Seagate heeft gemeld dat het de “juiste acties zal nemen om dit probleem op te lossen.”

Het beheren van endpoint devices kan niet zonder automatisering

Hoe verder de digitale revolutie doordringt in het bedrijfsleven, des te groter wordt de complexiteit van de IT-beveiliging.

3 min

Nieuws Freddy Heineken Award, KnowBe4 Partner

Stu Sjouwerman ontvangt de Freddy Heineken Award 2024

Deze befaamde prijs wordt jaarlijks uitgereikt aan een Nederlandse of Amerikaanse ondernemer.

2 min

Nieuws Onderzoek security awareness Partner

Kennis over online veiligheid en wenselijk gedrag in Nederland is ver ondermaats

Weinig kennis over online veiligheid en wenselijk gedrag in Nederland blijkt uit KnowBe4-onderzoek.

2 min

Meer whitepapers

Whitepaper Security

DORA in kaart: Een gids voor cruciale regelgeving voor financiële instellingen

Alles wat financiële instellingen moeten weten over de nieuwe regelgeving.

Whitepaper Security

De belangrijkste security risico's waar risk management zich op moet richten

Uw digitale aanvalsoppervlak is zowel complex als dynamisch, waardoor het een aantrekkelijk doelwit is voor aanvallers.

Whitepaper Security

Trend Micro herstelt AWS-diensten voor Banijay Benelux na ransomware-aanval

Wat doe je als je wordt getroffen door een ransomeware-aanval en je bedrijf daardoor stil ligt? Lees de ervaringen van Banijay Benelux.

MEER WHITEPAPERS

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Lekken in Seagate NAS

Het beheren van endpoint devices kan niet zonder automatisering

Stu Sjouwerman ontvangt de Freddy Heineken Award 2024

Kennis over online veiligheid en wenselijk gedrag in Nederland is ver ondermaats

DORA in kaart: Een gids voor cruciale regelgeving voor financiële instellingen

De belangrijkste security risico's waar risk management zich op moet richten

Trend Micro herstelt AWS-diensten voor Banijay Benelux na ransomware-aanval

Reacties

Bevestig jouw e-mailadres

Er is iets mis gegaan

Maak een gratis account aan en geniet van alle voordelen:

Maak een gratis account aan en geniet van alle voordelen: