Un aviso de seguridad al corriente el 1 de septiembre y revisado el 2 de septiembre revela que determinados discos duros inalámbricos de Seagate se ven afectados por múltiples vulnerabilidades, incluida una que aprovecha las credenciales codificadas.
La vulnerabilidad en cuestión explota un servicio Telnet indocumentado que se ejecuta en las unidades mediante el uso de las credenciales predeterminadas «raíz» como nombre de usuario y contraseña predeterminada.
El problema principal aquí es que las credenciales están codificadas de forma rígida y siempre son las mismas para que los atacantes puedan aprovechar la vulnerabilidad fácilmente en todas las unidades afectadas. Incluso puede ser posible tomar el control de los dispositivos de manera que se utilicen «como una plataforma para realizar operaciones maliciosas más allá del dispositivo», según Seguridad tangible quien descubrió la vulnerabilidad.
Los dispositivos afectados en cuestión son los siguientes:
- Almacenamiento móvil Seagate Wireless Plus
- Almacenamiento móvil inalámbrico Seagate
- LaCie FUEL
Las unidades se ven afectadas por dos vulnerabilidades adicionales. El primer ataque se lleva a cabo si no se modifica la configuración predeterminada de la unidad. Permite a los atacantes con acceso (inalámbrico) a los dispositivos afectados descargar archivos de ellos sin autenticación.
Las vulnerabilidades explotan los recursos protegidos incorrectamente en el dispositivo a los que se puede acceder sin autenticación.
La tercera y última vulnerabilidad proporciona a los atacantes los medios para cargar archivos en los dispositivos afectados con una configuración predeterminada.
Las tres vulnerabilidades brindan a los atacantes acceso total a los archivos almacenados en estos discos duros inalámbricos, a menudo sin que el propietario del dispositivo los sepa.
Seagate ha lanzado un nuevo firmware para todas las unidades afectadas que corrige estos problemas. Los usuarios finales y administradores que deseen descargar estos parches deben ingresar uno o varios números de serie en Buscador de descargas de Seagate sitio web para mostrar las descargas.
La forma más sencilla de revelar el número de serie de un disco duro Seagate es utilizar el Detectar unidad software.
Nota: se recomienda hacer una copia de seguridad de los datos de las unidades afectadas antes de actualizar el firmware.
Seagate fue informado sobre las vulnerabilidades por Tangible Security el 18 de marzo de 2015, mientras que la vulnerabilidad en sí se remonta a octubre de 2014.
Palabras de cierre
Las vulnerabilidades explotan errores de novatos que no deberían ocurrir, especialmente por parte de uno de los fabricantes de almacenamiento más grandes del mundo.
Los propietarios de dispositivos Seagate deben dirigirse al sitio oficial de inmediato para descargar el firmware más reciente para su dispositivo y corregir las tres vulnerabilidades. (vía ZDnet)