События

Seagate исправила опасную уязвимость в своих сетевых хранилищах

Компания Seagate исправила опасную уязвимость в прошивке сетевых хранилищ (Network Attached Storage, NAS) Seagate Personal Cloud Home Media Storage. Проблема позволяет удаленному злоумышленнику выполнить произвольные команды на устройстве.

Уязвимость затрагивает web-приложение Media Server, позволяющее пользователям взаимодействовать с хранящимися на устройстве данными через сетевое соединение.

Интерфейс Media Server работает поверх фреймворка Django, написанного на Python. Как выяснил исследователь безопасности Йорик Костер (Yorick Koster), злоумышленник, отправивший специально сформированные запросы к двум файлам (getLogs и uploadTelemetry) может обмануть приложение и удаленно выполнить произвольные команды на устройстве.

Исследователь также опубликовал PoC-эксплоит, позволяющий получить удаленный SSH-доступ на NAS Seagate, а затем изменить его корневой пароль.

Как пояснил эксперт, доступ к web-интерфейсу возможен только из локальной сети. Единственный способ проэксплуатировать данную уязвимость - заставить пользователя перейти по вредоносной ссылке, подключившись к той же локальной сети, что и устройство NAS. Вредоносный адрес можно распространять посредством фишинга либо через вредоносные рекламные объявления.

Костер уведомил о проблеме компанию по кибербезопасности SecuriTeam, которая в свою очередь связалась с производителем устройств. Уязвимость была исправлена в версии прошивки NAS OS v4.3.18.0.

Источник

Автор: Сергей Куприянов
16.01.2018 (10:09)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.