Ett säkerhetsmeddelande postat den September 1 och reviderad den 2 September avslöjar att välja Seagate wireless-hårddiskar påverkas av flera sårbarheter, inklusive en som drar fördel av hårdkodade referenser.
Sårbarheten i fråga utnyttjar en undocument Telnet-tjänsten som körs på de enheter genom att använda standard referenser “root” som användarnamn och standardlösenordet.
Den viktigaste frågan här är att referenserna är hårdkodade och alltid samma så att angripare kan utnyttja säkerhetsproblemet för lätt på alla berörda enheter. Det kan även vara möjligt att ta kontroll över enheter på ett sätt som de är vana “som en plattform för att bedriva skadlig verksamhet bortom den enhet” enligt Materiella Trygghet som upptäckte sårbarheten.
De berörda produkterna i fråga är följande:
- Seagate Wireless Plus Mobil Förvaring
- Seagate Wireless Mobile Lagring
- LaCie BRÄNSLE
Enheterna påverkas av ytterligare två sårbarheter. Den första attacken utförs om standard drive-konfiguration är inte ändras. Det gör det möjligt för angripare med (trådlös) tillgång till berörda enheter för att ladda ner filer från dem utan autentisering.
De utnyttjar sårbarheter som är felaktigt skyddade resurser på enheten som kan nås utan autentisering.
Den tredje och sista sårbarhet ger angripare möjlighet att ladda upp filer till berörda enheter under en standardkonfiguration.
De tre sårbarheter ge en angripare fullständig åtkomst till filer som lagras på dessa trådlösa hårddiskar, ofta utan att ägaren av enheten att veta om dem.
Seagate har släppt en ny firmware för alla berörda enheter som plåster dessa frågor. Slutet användare och administratörer som vill ladda ner dessa patchar måste ange en eller flera serienummer på Seagate Ladda ner Finder webbplats för att visa nedladdningar.
Det enklaste sättet att visa serienumret för en Seagate hårddisk är att använda företagets Bil Upptäcka programvara.
Obs: Det rekommenderas att säkerhetskopiera data på berörda enheter innan du uppgraderar firmware.
Seagate blev informerade om sårbarheter av Materiella Säkerhet den 18 Mars 2015 medan sårbarheten i sig går tillbaka så tidigt som oktober 2014.
Avslutande Ord
De sårbarheter utnyttja rookie misstag som inte borde hända, speciellt inte av en av de största lager tillverkare av världen.
Seagate-enhet ägarna ska bege dig till den officiella webbplatsen direkt för att ladda ner den senaste firmware för sin enhet för att lappa alla tre sårbarheter. (via ZDnet)