SIKKERHET

Populære NAS-er har sikkerhetshull som kan gi hackere enkel adgang

Nye problemer med Western Digitals My Cloud-produkter.
Nye problemer med Western Digitals My Cloud-produkter. Western Digital
20. sep. 2018 - 05:00

Blant andre nettstedet TechCrunch melder nå at det er funnet kritiske sikkerhetshull i Western Digitals My Cloud-serie av nettverksdisker, eller NAS–er.

Sårbarheten ble funnet av en sikkerhetsforsker ved navn Remco Vermeulen, som nylig publiserte en tekst på nettstedet Securify, hvor han beskriver problemet.

Gir enkel admin-tilgang

Sikkerhetshullet det dreier seg om er et såkalt «privilege escalation»-hull, som innebærer at det kan utnyttes av hackere til å gi seg selv admin-tilgang til systemene – som igjen gir full tilgang til brukerdata.

Feilen går i korte trekk ut på at det er mulig for en uautentisert bruker å opprette en såkalt «admin session» som er knyttet til vedkommendes IP-adresse. Ved å utnytte dette kan en angriper kjøre kommandoer som vanligvis krever admin-privilegier og ta total kontroll over My Cloud-enheten.

Sikkerhetsforskere som først rapporterte om hullet uttalte overfor TechCrunch at sårbarheten er enkel å utnytte, og de kan også fjernutnyttes dersom My Cloud-enheten tillater fjerntilgang over Internett. Dette er det mange enheter som gjør.

Ingen fiks ennå

Et annet team av sikkerhetseksperter, Exploitee.rs, bekrefter sårbarheten og la ut en Twitter-melding hvor de opplyser at de kontaktet Western Digital angående det samme hullet allerede på hackekonferansen Defcon 25 i fjor.

Ifølge Exploitee.rs skal Western Digital ikke ha anerkjent problemet. Remco Vermeulen skal også ha kontaktet produsenten allerede for over et år siden og opplyser at det ennå ikke foreligger noe fiks til problemet.

Det er dermed uvisst om eller når Western Digital har tenkt å ta tak i problemet. Selskapet ser i skrivende stund ikke ut til å ha kommentert saken.

Dette er ikke første gang det meldes om alvorlige sikkerhetsproblemer med My Cloud-enhetene. I januar i år meldte vi om et sikkerhetshull i form av en hardkodet bakdør som gjør det mulig for hvem som helst å logge inn på enheten med administratorrettigheter, ved hjelp av et bestemt brukernavn og passord.

Les også: Hissig angrep slo ut nesten hele nettet (Ekstra) »

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.