„Seagate“ diskai yra pažeidžiami dėl paslėptos pagrindinės paskyros ir kitų pažeidžiamumų

Patarimas dėl saugumo paskelbta rugsėjo 1 d. ir pakeistas rugsėjo 2 d. atskleidžia, kad tam tikruose „Seagate“ belaidiuose kietuosiuose diskuose yra daugybė pažeidžiamumų, įskaitant tą, kuris naudojasi sunkiai užkoduotais prisijungimo duomenimis.

Aptariama pažeidžiamumas išnaudoja dokumentų neturinčią „Telnet“ paslaugą, veikiančią diskuose, kaip vartotojo vardą ir numatytąjį slaptažodį naudodamas numatytuosius kredencialo duomenis „root“.



Pagrindinė problema yra ta, kad kredencialai yra užkoduoti ir visada vienodi, kad užpuolikai galėtų lengvai išnaudoti pažeidžiamumą visuose paveiktuose diskuose. Galbūt net įmanoma valdyti įrenginius taip, kad jie būtų naudojami kaip „platforma kenkėjiškoms operacijoms atlikti ne tik už prietaiso“, Apčiuopiamas saugumas kuris atrado pažeidžiamumą.

seagate wireless hard drives vulnerabilities

Aptariami šie prietaisai:



  • „Seagate Wireless Plus“ mobilioji saugykla
  • „Seagate“ belaidė mobilioji saugykla
  • „LaCie FUEL“

Diskai turi dar dvi papildomas spragas. Pirmoji ataka vykdoma, jei nepakeista numatytoji disko konfigūracija. Tai leidžia užpuolikams, turintiems (belaidį) prieigą prie paveiktų prietaisų, atsisiųsti failus iš jų be autentifikacijos.

Pažeidžiamumas naudoja netinkamai apsaugotus įrenginio išteklius, prie kurių galima prisijungti be autentifikacijos.

Trečioji ir paskutinė pažeidžiamumas suteikia užpuolikams galimybę nusiųsti failus į paveiktus įrenginius pagal numatytąją konfigūraciją.

Trys pažeidžiamumai suteikia užpuolikams visišką prieigą prie šiuose belaidžiuose standžiuosiuose diskuose saugomų failų, dažnai prietaiso savininkui apie juos nežinant.

„Seagate“ išleido naują programinę-aparatinę įrangą visiems paveiktiems diskams, kuri pataiso šias problemas. Galutiniai vartotojai ir administratoriai, norintys atsisiųsti šias pataisas, turi įvesti vieną ar kelis serijos numerius „Seagate“ atsisiuntimo ieškiklis svetainėje, kad būtų rodomi atsisiuntimai.

Lengviausias būdas sužinoti „Seagate“ kietojo disko serijos numerį yra naudoti kompaniją Vairuotojo aptikimas programinė įranga.

Pastaba: prieš atnaujinant programinę aparatinę įrangą rekomenduojama sukurti atsarginių duomenų apie paveiktus diskus atsargines kopijas.

„Seagate“ apie pažeidžiamumą informavo „Materialusis saugumas“ 2015 m. Kovo 18 d., O pats pažeidžiamumas atsirado dar 2014 m. Spalio mėn.

Uždarymo žodžiai

Pažeidžiamumas išnaudoja naujokų klaidas, kurių neturėtų atsitikti, ypač ne vienos didžiausių saugyklų gamintojų pasaulyje.

„Seagate“ įrenginių savininkai turėtų tuoj pat apsilankyti oficialioje svetainėje, kad atsisiųstų naujausią savo prietaiso programinę įrangą, kuri pataisytų visas tris spragas. (per „ZDnet“)