Seagate: root/root - dat raadt niemand!

Harde schijf-producent plaatst hardcoded credentials in draadloze apparaten.

Dat het nog gebeurt vandaag de dag: fabrikanten die draadloze toegang default instellen met de equivalent van admin/admin en dat vervolgens vast coderen in de firmware.

CERT waarschuwt voor een reeks kwetsbaarheden in schijven van Seagate en eentje is (helaas niet zo) opvallend. Je kunt namelijk op afstand inloggen op de NAS met inlognaam root met het wachtwoord root. Deze de facto backdoor is niet aan te passen, gebruikers moeten hun firmware bijwerken om dit op te lossen.




Het gaat om apparaten onder de vlag Seagate Wireless Plus Mobile Storage, Seagate Wireless Mobile Storage en LaCie FUEL. Gebruikers van deze devices moeten de firmware bijwerken naar versie 3.4.1.105.

Brede toegang tot bestanden

Dankzij een tweede kwetsbaarheid (CVE 2015-2875) krijgen aanvallers onder de standaardconfiguratie downloadrechten op het bestandssysteem. En via een derde kwetsbaarheid (CVE 2015-2876) kan onder de standaardconfiguratie iedereen bestanden uploaden naar /media/sda2, waardoor aanvallers bestanden kunnen vervangen voor hun eigen versie met daar malware bij ingepakt.