Seagate ancora nei guai per lo storage NAS

Seagate ancora nei guai per lo storage NAS

Il colosso dell'archiviazione deve fare i conti con l'ennesima falla di sicurezza nelle sue unità NAS, un problema potenzialmente sfruttabile da remoto che è stato in ogni caso già risolto con un aggiornamento rilasciato in sordina
Il colosso dell'archiviazione deve fare i conti con l'ennesima falla di sicurezza nelle sue unità NAS, un problema potenzialmente sfruttabile da remoto che è stato in ogni caso già risolto con un aggiornamento rilasciato in sordina

Seagate torna a far parlare di se per le vulnerabilità di sicurezza all’interno delle sue unità di storage esterne, un problema che questa volta riguarda il prodotti NAS della linea Personal Cloud Home Media Storage e che potrebbe potenzialmente provocare la compromissione del dispositivo – e quindi dei dati dell’utente – da parte di un malintenzionato che agisse da remoto.

I ricercatori hanno individuato la nuova vulnerabilità all’interno di Media Server, una app Web accessibile dall’interfaccia di controllo del NAS che permette agli utenti di impostare l’accesso via Internet ai dati archiviati sul dispositivo presente nella LAN locale.

Inviando richieste malformate a due diversi file del firmware del NAS (getLogs, uploadTelemetry), dicono i ricercatori, è possibile spingere l’applicazione Media Server a eseguire comandi direttamente all’interno del firmware senza alcun bisogno di autenticazione.

Il problema è potenzialmente molto pericoloso , visto che chi ha scoperto le falle ha realizzato anche un codice proof-of-concept in grado di abilitare l’accesso remoto tramite SSH per modificare la password root. Più complicato è lo sfruttamento del problema da remoto, e i possibili vettori di attacco includono l’uso di codice malevolo nascosto nei banner pubblicitari o il phishing.

Anche se non si tratta di una vera e propria backdoor come nel caso recente che ha coinvolto Western Digital , insomma, il consiglio è come sempre quello di aggiornare: nonostante la scarsa propensione a comunicare con chi le ha scoperte, Seagate ha già chiuso le falle con la versione version 4.3.18.0 del firmware Personal Cloud.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 22 gen 2018
Link copiato negli appunti