Een security advisory geplaatst op 1 September bijgewerkt op September 2 blijkt dat selecteert u de Seagate wireless harde schijven worden beïnvloed door meerdere kwetsbaarheden, waaronder een die is het nemen van voordeel van hard-coded referenties.
De kwetsbaarheid in kwestie exploiteert een undocument Telnet service die wordt uitgevoerd op de stations met behulp van de standaard referenties “root” als gebruikersnaam en het standaard wachtwoord.
Het belangrijkste probleem hier is dat de referenties zijn hard gecodeerd en altijd hetzelfde, dus dat kan een aanvaller het beveiligingslek misbruiken gemakkelijk op alle betrokken schijven. Het is zelfs mogelijk om de controle van de apparaten op een manier die ze gewend zijn “als een platform voor het verrichten van schadelijke handelingen die buiten het apparaat”, aldus de Materiële Beveiliging van de ontdekker van de kwetsbaarheid.
De betreffende apparaten in kwestie zijn de volgende:
- Seagate Wireless Plus Mobiele Opslag
- Seagate Wireless Mobiele Opslag
- LaCie BRANDSTOF
De schijven zijn beïnvloed door twee extra kwetsbaarheden. De eerste aanval wordt uitgevoerd als de standaard schijf configuratie wordt gewijzigd. Het biedt aanvallers de mogelijkheid met (draadloze) toegang tot de betreffende apparaten om bestanden te downloaden, zonder verificatie.
De kwetsbaarheden en exploits onvoldoende beschermde bronnen op het apparaat die kan worden geraadpleegd zonder verificatie.
De derde en laatste kwetsbaarheid biedt aanvallers de middelen om bestanden te uploaden naar de betreffende apparaten onder een standaard configuratie.
De drie kwetsbaarheden geeft aanvallers volledige toegang tot bestanden die zijn opgeslagen op deze draadloze harde schijven, vaak zonder dat de eigenaar van het apparaat te weten over hen.
Seagate heeft een nieuwe firmware voor alle betrokken stations die patches van deze problemen. Eindgebruikers en beheerders die willen om deze te downloaden patches moeten ingeven van één of meerdere serienummers op de Seagate ‘ s Downloaden Finder website weer te geven van de downloads.
De eenvoudigste manier om te onthullen het seriële getal van een Seagate-harde schijf van het bedrijf Schijf Detecteren software.
Opmerking: Het wordt aanbevolen een back-up van gegevens op de betreffende stations voordat u de firmware bijwerkt.
Seagate was geïnformeerd over de kwetsbaarheden door Materiële Zekerheid op 18 Maart 2015, terwijl de kwetsbaarheid zelf dateert al in oktober 2014.
Slotwoord
De kwetsbaarheden misbruiken rookie fouten, dat mag niet gebeuren, zeker niet door een van de grootste opslag fabrikanten van de wereld.
Seagate apparaat eigenaren ga dan naar de officiële site te downloaden van de nieuwste firmware voor het apparaat wilt bijwerken van alle drie de problemen. (via ZDnet)