Kritische Lücke in Seagate BlackArmor NAS
Wer eine bestimmte URL kennt, kann ohne Authentifizierung das Adminpasswort des Netzwerkspeichers ändern.
- Ronald Eikenberg
Das US-CERT warnt vor einer Schwachstelle im Netzwerkspeicher BlackArmor von Seagate, durch die ein Angreifer ohne Authentifizierung das Adminpasswort ändern kann. Es genügt, die Adresse http://IPdesNAS/d41d8cd98f00b204e9800998ecf8427e.php
aufzurufen. Ob das NAS auch über das Internet erreichbar ist, hängt von der individuellen Netzwerkkonfiguration ab.
Nach Angaben des CERT wurde der Hersteller über das Problem informiert, einen Patch gibt es bislang jedoch nicht. Als Workaround soll man den Zugriff auf das Webinterface einschränken. Wie das jedoch im lokalen Netz funktionieren soll, geht nicht aus dem Advisory hervor. (rei)