En sikkerhetsveiledning posted on September 1 og revidert på September 2 avslører at velger Seagate wireless harddisker er påvirket av flere sikkerhetsproblemer, inkludert en som tar nytte av hard-kodet legitimasjon.
Sårbarheten i spørsmålet utnytter en undocument Telnet-tjeneste som kjører på stasjonene ved å bruke standard legitimasjon “root” som brukernavn og standard passord.
Det største problemet her er at legitimasjonen er hardkodet og alltid den samme, slik at angripere kan utnytte sikkerhetsproblemet lett på alle berørte stasjoner. Det kan også være mulig å ta kontroll over enheter på en måte at de er brukt “, som en plattform til å drive skadelig virksomhet utover enheten” i henhold til Varige Sikkerhet som oppdaget et sikkerhetsproblem.
De berørte enheter i spørsmålet, er de følgende:
- Seagate Wireless Plus Mobile Lagringsenheter
- Seagate Wireless Mobile Lagring
- LaCie DRIVSTOFF
Stasjonene er påvirket av to ytterligere svakheter. Det første angrepet er utført dersom standard drive konfigurasjon er ikke endret. Det gjør det mulig for angripere med (trådløs) tilgang til berørte enheter for å laste ned filer fra dem uten godkjenning.
De utnytter sårbarheter som er feil beskyttet ressurser på enheten som kan nås uten godkjenning.
Den tredje og siste sårbarhet gir angripere med midler til å laste opp filer til berørte enheter under en standard konfigurasjon.
De tre sårbarheter gi angripere tilgang til filer som er lagret på disse trådløse harddisker, ofte uten at eieren av enheten for å vite om dem.
Seagate har sluppet en ny firmware for alle berørte stasjoner som patcher disse problemene. Sluttbrukere og administratorer som ønsker å laste ned disse oppdateringene må angi ett eller flere serienumre på Seagates Laste ned Finder nettsted for å vise nedlastinger.
Den enkleste måten å avsløre serienummeret en Seagate-harddisk er å bruke selskapets Stasjonen Oppdage programvare.
Merk: Det anbefales å sikkerhetskopiere data på berørte stasjoner før du oppgraderer fastvaren.
Seagate ble informert om sikkerhetsproblemer ved Konkrete Sikkerhet på Mars 18, 2015, mens sårbarhet i seg selv kan dateres tilbake så tidlig som i oktober 2014.
Avsluttende Ord
Sikkerhetsproblemene utnytte nybegynner feil som ikke skal skje, spesielt ikke av en av de største lagring produsenter av verden.
Seagate enheten eiere bør gå over til det offisielle nettstedet umiddelbart å laste ned den nyeste fastvaren for sin enhet for å dekke alle tre sårbarheter. (via ZDnet)