Seagate torna a far parlare di se per le vulnerabilità di sicurezza all’interno delle sue unità di storage esterne, un problema che questa volta riguarda il prodotti NAS della linea Personal Cloud Home Media Storage e che potrebbe potenzialmente provocare la compromissione del dispositivo – e quindi dei dati dell’utente – da parte di un malintenzionato che agisse da remoto.
I ricercatori hanno individuato la nuova vulnerabilità all’interno di Media Server, una app Web accessibile dall’interfaccia di controllo del NAS che permette agli utenti di impostare l’accesso via Internet ai dati archiviati sul dispositivo presente nella LAN locale.
Inviando richieste malformate a due diversi file del firmware del NAS (getLogs, uploadTelemetry), dicono i ricercatori, è possibile spingere l’applicazione Media Server a eseguire comandi direttamente all’interno del firmware senza alcun bisogno di autenticazione.
Il problema è potenzialmente molto pericoloso , visto che chi ha scoperto le falle ha realizzato anche un codice proof-of-concept in grado di abilitare l’accesso remoto tramite SSH per modificare la password root. Più complicato è lo sfruttamento del problema da remoto, e i possibili vettori di attacco includono l’uso di codice malevolo nascosto nei banner pubblicitari o il phishing.
Anche se non si tratta di una vera e propria backdoor come nel caso recente che ha coinvolto Western Digital , insomma, il consiglio è come sempre quello di aggiornare: nonostante la scarsa propensione a comunicare con chi le ha scoperte, Seagate ha già chiuso le falle con la versione version 4.3.18.0 del firmware Personal Cloud.
Alfonso Maruccia
-
Abbiamo di meglio in FOSSlandia
Che mi serve PowerSHell se ho NixOS/GuixSD? Che mi serve PS se ho Saltstack, Ansible ecc?È più limitato, limitante, ostico da comprendere, con un DSL assurdamente poco intuitivo. Non so cosa farmene.Re: Abbiamo di meglio in FOSSlandia
- Scritto da: xte> Che mi serve PowerSHell se ho NixOS/GuixSD? Che> mi serve PS se ho Saltstack, Ansible> ecc?> > È più limitato, limitante, ostico da comprendere,> con un DSL assurdamente poco intuitivo. Non so> cosa> farmene.Serve a niente.Chi sa usare strumenti di scripting, usa ben altro.Mentre il winaro clicca-clicca non sa scriptare.Re: Abbiamo di meglio in FOSSlandia
> Mentre il winaro clicca-clicca non sa scriptare.Domanda non provocatoria: ed a cosa mi serve scriptare se posso fare tutto quello che mi serve in maniera più facile e veloce (parlo da sysadmin)?Domanda provocatoria: e non un linaro non si sente un po' XXXXXXXXX quando gli tocca scriptare per delle cose che invece i winari hanno con due "clicca-clicca"?Re: Abbiamo di meglio in FOSSlandia
> Domanda non provocatoria: ed a cosa mi serve> scriptare se posso fare tutto quello che mi serve> in maniera più facile e veloce (parlo da> sysadmin)?> Quante volte per risolvere un problema apparso improvvisamente ti hanno detto di aprire regedit e di crearti a mano una chiave di registro perché quell'impostazione non era prevista nella GUI?La GUI ha solo quelle funzionalità che il disegnatore della GUI ha previsto in anticipo. Non è possibile riprodurre via GUI tutte le possibili variazioni di quelle funzionalità che ti servono nella vita reale, alla fine diventa un fattore che limita quello che puoi fare. La linea di comando sarà rozza, ma meno limitante.Re: Abbiamo di meglio in FOSSlandia
Mh, ehm, PowerShell o qualsiasi altra soluzione analoga (ne abbiamo tante) in cosa differisce da "scriptare"? Forse l'uso di un DSL diverso?Sul secondo punto: hai notato la differenza di "stress" e "carico di lavoro" tra chi fa supporto Windows e chi solo GNU/Linux o qualche Unix? Io spesso identifico a pelle, azzeccandoci praticamente sempre, solo osservando il vestiario e il nervosismo...Più seriamente prova NixOS con NixOps, poi prova a mantenere analogo setup con Windows, se vuoi con powershell, se vuoi con altro. Una settimana dopo riferisci la tua esperienza :-)Re: Abbiamo di meglio in FOSSlandia
- Scritto da: winaro> > Mentre il winaro clicca-clicca non sa> scriptare.> > Domanda non provocatoria: ed a cosa mi serve> scriptare se posso fare tutto quello che mi serve> in maniera più facile e veloce (parlo da> sysadmin)?Tipo mandare una mail alle tre di notte con l'elenco di tutti i nomi dei log (e magari anche il numero di riga), che contengono un determinato codice utente?Spiegami dove si clicca.Hai 7000 caratteri.Poi ti mando la riga di shell che fa l'equivalente.> Domanda provocatoria: e non un linaro non si> sente un po' XXXXXXXXX quando gli tocca scriptare> per delle cose che invece i winari hanno con due> "clicca-clicca"?Il winaro E' XXXXXXXXX quando posta queste domande sul forum.Lo script, a differenza del clicca-clicca, LO FA LA MACCHINA.Io preparo lo script, e qualcuno (anche il winaro ignorante) lo lancia quando serve.Tu invece clicchi.Se non capisci la differenza, continua pure a cliccare.Re: Abbiamo di meglio in FOSSlandia
- Scritto da: winaro> > Mentre il winaro clicca-clicca non sa> scriptare.> > Domanda non provocatoria: ed a cosa mi serve> scriptare se posso fare tutto quello che mi serve> in maniera più facile e veloce (parlo da> sysadmin)?A niente. Finche resti nel "recinto" delle azioni permesse dal clikka-clikka, continua col clikka-clikka > Domanda provocatoria: e non un linaro non si> sente un po' XXXXXXXXX quando gli tocca scriptare> per delle cose che invece i winari hanno con due> "clicca-clicca"?LA possibilita' di scripting consente si di fare le cose "clikka-clikka" in modo meno immediato, e' vero, ma appena serve fare la cosa "X" non ammessa dal clikka-clikka, i "clikka-clikkari" vanno in panico mentre gli "scriptari" lavorano spediti.Es: devo campiare dinamicamente un IP tra, per esempio 192.168.1.10/12 e 172.16.1.10/22 avanit e indietro 30-40 volte perche sto facendo prove su blocchi di ip diversi? con windows devi selezionare, tenere aperto il menu, digitare i numeri con rischio di sbagliare, ecc una due tre volte ok, quando arrivi alle decine di volte sei incavolato nero. Con uno script ben fatto vai molto piu' veloce.ed e' solo un esempio banale, eh.poi certo, puoi fare qeusto giochino a riga di momando anche su windows, ma quando entri nel "particolare", la shell di windows mostra tutte le sue limitazioni.Re: Abbiamo di meglio in FOSSlandia
- Scritto da: winaro> > Mentre il winaro clicca-clicca non sa> scriptare.> > Domanda non provocatoria: ed a cosa mi serve> scriptare se posso fare tutto quello che mi serve> in maniera più facile e veloce (parlo da> sysadmin)?> > Domanda provocatoria: e non un linaro non si> sente un po' XXXXXXXXX quando gli tocca scriptare> per delle cose che invece i winari hanno con due> "clicca-clicca"?Non si sente XXXXXXXXX perché l'intenzione è di essere inutile ad altre attività, dato che non ci arriverà mai.Re: Abbiamo di meglio in FOSSlandia
- Scritto da: panda rossa> - Scritto da: xte> > Che mi serve PowerSHell se ho NixOS/GuixSD?> Che> > mi serve PS se ho Saltstack, Ansible> > ecc?> > > > È più limitato, limitante, ostico da> comprendere,> > con un DSL assurdamente poco intuitivo. Non> so> > cosa> > farmene.> > Serve a niente.> > Chi sa usare strumenti di scripting, usa ben> altro.> Mentre il winaro clicca-clicca non sa scriptare.E la pantegana blatera continuando a ignorare (molto più grave di non sapere) che c'è dell'altro.Re: Abbiamo di meglio in FOSSlandia
- Scritto da: appleuser> - Scritto da: panda rossa> > - Scritto da: xte> > > Che mi serve PowerSHell se ho> NixOS/GuixSD?> > Che> > > mi serve PS se ho Saltstack, Ansible> > > ecc?> > > > > > È più limitato, limitante, ostico> da> > comprendere,> > > con un DSL assurdamente poco intuitivo.> Non> > so> > > cosa> > > farmene.> > > > Serve a niente.> > > > Chi sa usare strumenti di scripting, usa ben> > altro.> > Mentre il winaro clicca-clicca non sa> scriptare.> > E la pantegana blatera continuando a ignorare> (molto più grave di non sapere) che c'è> dell'altro.Apprezziamo che tu venga a portarci la tua personale esperienza di applefan ignorante, ma sei OT. Qui si parla di realta' aziendali, e non di reception di palestre e centri estetici.no, grazie.
abbraccia, estendi, estingui. Microsoft non ha perso il vizio. No, grazie, sui soc ARM sto tanto bene con la bash, python, C.PS: ma la riga di comando non era per sfigati brufolosi? almeno cosi' dicevano i cerebrolesi "clikka-clikka"Tempo perso
Stanno cercando di renderlo disponibile su larga scala perché gli sviluppatori non vogliono impararlo. Hanno iniziato con la solita strada del vendor lock in creando un sistema che funzionasse solo sulle loro piattaforme senza compatibilità e i programmatori si sono resi conto che anche loro finiscono incastrati nel vendor lock impiegando tanto tempo ad imparare un linguaggio verboso, con una curva di apprendimento abbastanza ripida e con poche probabilità di riutilizzare gli skill in altri posti.Renderlo installabile su altri sistemi cambia poco, chi è che va ad installare una cosa del genere su *nix? Come ha scritto ... esiste la combinazione bash/python, ma esiste anche la combinazione bash/Groovy, tutte e due più leggibili e con una curva di apprendimento più graduale. Al massimo puo essere utile per portare su *nix un sistema che scritto per girare su Azure e rimuovere la parte powershell gradualmente, ma con tutti i rischi di vulnerabilità di un sistema poco usato e poco testato.Re: Tempo perso
- Scritto da: 5772e7f2de1> Al massimo puo essere utile per portare> su *nix un sistema che scritto per girare su> Azure e rimuovere la parte powershell> gradualmente, ma con tutti i rischi di> vulnerabilità di un sistema poco usato e poco> testato.La vedo dura che MS abbandoni completamnete powershell. Per dire, è la base di Exchange Server.Re: Tempo perso
- Scritto da: AMEN> - Scritto da: 5772e7f2de1> > > Al massimo puo essere utile per portare> > su *nix un sistema che scritto per girare su> > Azure e rimuovere la parte powershell> > gradualmente, ma con tutti i rischi di> > vulnerabilità di un sistema poco usato e poco> > testato.> > La vedo dura che MS abbandoni completamnete> powershell. Per dire, è la base di Exchange> Server.Forse non sono stato molto chiaro o forse non vuoi capire. Non ho mai parlato di Microsoft che abbandona PowerShell, ho parlato di una qulunque azienda che ha i suoi servizi cloud su Azure che potrebbe decidere di migrare i suoi servizi su altri sistemi. Portare powershell potrebbe garantire un minimo di compatibilità tra piattaforme, ma bisogna vedere come funziona.Re: Tempo perso
- Scritto da: 5772e7f2de1> - Scritto da: AMEN> > - Scritto da: 5772e7f2de1> > > > > Al massimo puo essere utile per portare> > > su *nix un sistema che scritto per girare> su> > > Azure e rimuovere la parte powershell> > > gradualmente, ma con tutti i rischi di> > > vulnerabilità di un sistema poco usato e> poco> > > testato.> > > > La vedo dura che MS abbandoni completamnete> > powershell. Per dire, è la base di Exchange> > Server.> > Forse non sono stato molto chiaro o forse non> vuoi capire. Non ho mai parlato di Microsoft che> abbandona PowerShell, ho parlato di una qulunque> azienda che ha i suoi servizi cloud su Azure che> potrebbe decidere di migrare i suoi servizi su> altri sistemi.Forse non hai capito che la qualunque azienda che si e' fatta incatenare polsi, caviglie e collo col lock-in di M$, col cavolo che la fanno migrare su altri sistemi.> Portare powershell potrebbe> garantire un minimo di compatibilità tra> piattaforme, ma bisogna vedere come> funziona.Compatibilita' e M$ nella stessa frase non si possono proprio vedere!Grazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoLeggi gli altri commentiPubblicato il 22 gen 2018Link copiato negli appuntiTi potrebbe interessare
Pubblicato il 22 gen 2018Link copiato negli appunti
