NAS firmy Seagate z luką bezpieczeństwa — koniecznie zaktualizuj firmware

16 stycznia 2018

Odkryta podatność CVE-2018-5347 w aplikacji sieciowej Media Server w Seagate Personal Cloud Home pozwalała atakującemu wykonywać polecenia z uprawnieniami root na niezaktualizowanym firmware w wersji starszej niż 4.3.18.0.

W opublikowanym PoC , badacz Yorick Koster odkrył błędy w zabezpieczeniach funkcji uploadTelemetry i getLogs w pliku views.py — graficznym oprogramowaniu do uzyskiwania zdalnego (z sieci Internet) dostępu do plików znajdujących się na urządzeniu w sieci lokalnej.
Czy luka jest poważna? Nie tak bardzo, ponieważ podatność może być wykorzystana tylko z sieci lokalnej, ale…

Osoba, której uda się uzyskać dostęp do urządzenia (np. poprzez specjalnie zaprojektowane złośliwe oprogramowanie dostarczone do sieci domowej / firmowej przez malvertising lub phishing czy atak drive-by) może na nim uruchomić serwer SSH i tym samym uzyskać pełny dostęp do urządzenia z uprawnieniami root. Przejęty NAS może zostać wykorzystany do ataków na innych użytkowników, rozsyłać SPAM, materiały pornograficzne, uczestniczyć w atakach DDoS i wiele więcej.

Firma Seagate została poinformowana o luce w zabezpieczeniach 16 października, ale odmówiła udzielenia odpowiedzi na zgłoszenia techniczne.

Niemniej luka została załatana „po cichu” w Seagate Personal Cloud w wersji 4.3.18.0.

Nie pozostaje nic innego jak zachęcić do aktualizacji.

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
Podaj porawny e-mail, aby dostać powiadomienie o odpowiedzi na Twój post.
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ