Investigadores de Seguridad de Tangible Security descubrieron vulnerabilidades críticas en los Dispositivos de almacenamiento inalámbricos de Seagate.
Según los investigadores los siguientes dispositivos con versiones de Firmware 2.2.0.005 y 2.3.0.014, que datan de Octubre del 2014, son vulnerables a diversos vectores de ataque.
- Seagate Wireless Plus Mobile Storage
- Seagate Wireless Mobile Storage
- LaCie FUEL
Las vulnerabilidades son:
Uso de Credenciales No Documentadas
Los dispositivos afectados tienen un acceso Telnet con credenciales por defecto con el usuario root. El atacante puede tomar control del dispositivo, comprometer la información y llevar a cabo otros ataques.
- CVE-2015-2874
- CWE-798
Consulta Directa
Los dispositivos afectados proveen capacidad de descarga sin restricciones. El atacante pueden tener acceso a todos los archivos guardados en el dispositivo con solo estar en el rango de cobertura del dispositivo.
- CVE-2015-2875
- CWE-425
Subida sin Restricciones de archivos de Tipo Peligroso
Los Dispositivos afectados proveen una capacidad de subir archivos al sistema de archivos del dispositivo /media/sda2, que es usado para compartir archivos. Esto le permite al atacante subir archivos maliciosos que pueden comprometer otros equipos si son abiertos.
- CVE-2015-2876
- CWE-434
Seagate ya ha lanzado un Firmware para parchear estas vulnerabilidades.
Fuente: jsitech