Global Preloader
Vulnerabilidad
(24/Jan/2018) Seagate ha corregido varias vulnerabilidades descubiertas

Seagate ha corregido varias vulnerabilidades descubiertas

Recientemente, Seagate ha corregido varias vulnerabilidades descubiertas por los investigadores en los productos Personal Cloud y GoFlex de la empresa, pero algunas debilidades que afectan a este último siguen sin ser corregidas.

Vulnerabilidades de GoFlex Home

A fines de septiembre de 2017, el investigador Aditya K. Sood descubrió vulnerabilidades que pueden aprovecharse para ataques de guiones entre sitios (XSS) y man-in-the-middle (MitM) en el producto de almacenamiento conectado a la red (NAS) GoFlex Home de Seagate.

A los usuarios de GoFlex se les proporciona un servicio web, accesible en seagateshare.com, que les permite administrar el producto de forma remota y subir archivos a la nube. Se puede acceder al servicio utilizando el nombre del dispositivo, un nombre de usuario y una contraseña. Un servidor HTTP presente en el firmware GoFlex requiere el reenvío de puertos en el enrutador del usuario para poder conectarse al servicio web.

Sood descubrió que el servidor incorporado todavía es compatible con SSLv2 y SSLv3, y el servicio de seagateshare.com es compatible con SSLv3. SSLv2 y SSLv3 son protocolos obsoletos que se sabe que son vulnerables a los ataques de MitM, incluso a través de los métodos conocidos como DROWN y POODLE .

El experto ha identificado más de 50,000 dispositivos de Seagate alojados en direcciones IP únicas que tienen habilitado SSLv2 y SSLv3.

Sood también notó que el nombre único (device_id) de cada dispositivo no es difícil de encontrar. Durante las pruebas que condujo, el experto logró recolectar más de 17,000 ID de dispositivos únicos.

Otro agujero de seguridad encontrado por el investigador es un XSS que afecta el sitio web seagateshare.com. Un atacante podría haber aprovechado esta vulnerabilidad para ejecutar código malicioso en el contexto de la sesión de navegación de un usuario haciendo que la víctima haga clic en un enlace especialmente diseñado.

Si bien Seagate ha solucionado la vulnerabilidad XSS, la compañía le dijo a Sood que no planea abordar el problema relacionado con el uso de SSLv2 y SSLv3.

Vulnerabilidades de la nube personal

El investigador de Securify Yorick Koster también reveló recientemente un par de vulnerabilidades que descubrió en los productos de Seagate. Específicamente, descubrió que los dispositivos Personal Cloud NAS se ven afectados por la inyección de comandos y los defectos de eliminación de archivos.

Los agujeros de seguridad afectan a la aplicación Seagate Media Server, que permite a los usuarios acceder fácilmente a sus fotos, música y películas. Se puede acceder a la aplicación sin autenticación y los usuarios no autenticados pueden cargar archivos usando una carpeta pública .

Las vulnerabilidades de inyección de comandos, rastreadas como CVE-2018-5347, permiten que un atacante no autenticado ejecute comandos arbitrarios con privilegios de administrador. Los agujeros de seguridad se pueden explotar de forma remota mediante ataques de falsificación de solicitudes entre sitios (CSRF) incluso si un dispositivo no está conectado directamente a Internet.

Koster también descubrió que la aplicación Media Server se ve afectada por una vulnerabilidad que permite a un atacante no autenticado eliminar archivos y carpetas arbitrarios del dispositivo NAS. Debido a que faltan las protecciones CSRF, esta falla también se puede explotar de forma remota logrando que el usuario objetivo acceda a un sitio web especialmente diseñado.

Las vulnerabilidades descubiertas por Koster fueron reparadas por Seagate el 11 de diciembre con el lanzamiento de la versión de firmware 4.3.18.0 . A principios de este mes, se publicaron advertencias separadas que detallaban los errores de inyección de comandos y eliminación de archivos , incluido el código de prueba de concepto (PoC).