NAS Seagate afectados por una vulnerabilidad y se recomienda actualizar

8 septiembre 2015, 16:46

Pedro Santamaria

Las actualizaciones de software y firmware son tan importantes que uno se pregunta por qué no se facilitan más. Sobre todo en determinados tipos de productos. Porque si no, luego ocurre lo que ocurre.

El último problema lo ha tenido Seagate con sus NAS inalámbricos. Un grupo de investigadores ha encontrado una serie de vulnerabilidades en un número de dispositivos fabricados por Seagate. Estas permiten acceder a losa archivos y ajustes sin mucha complicación.

Esto significa que deberíais actualizar a la última versión del firmware. En el caso de los NAS inalámbricos de Seagate sería la versión 3.4.1.105. Así que hacedlo. Y si no sabéis cómo consultar la información que el fabricante ofrece en su web o manual.

Use of Hard-coded Credentials

Vulnerability Description: The affected device firmware contains undocumented Telnet services accessible by using the default credentials of 'root' as username and the default password

Impact Description: an attacker can covertly take control of the device, not only compromising the confidentiality of files stored on it but use it as a platform to conduct malicious operations beyond the device

CVE-2015-2874

CWE-798

Direct Request ('Forced Browsing')

Vulnerability Description: The affected device firmware provides unrestricted file download capability

Impact Description: Attackers can gain access all files stored in affected devices. This vulnerability requires attackers to be within range of the device’s wireless network

CVE-2015-2875

CWE-425

Unrestricted Upload of File with Dangerous Type

Vulnerability Description: The affected device firmware provides a file upload capability to the device's /media/sda2 file system, which is reserved for the file sharing

Impact Description: this vulnerability requires attackers to be within range of the device’s wireless network, who can upload files onto it. If such files were maliciously crafted, they could compromise other endpoints when the files are opened

CVE-2015-2876

CWE-434

De igual modo, a los fabricantes se les agradecería que implementase un sistema de notificaciones que alertase de estas nuevas versiones. Sobre todo en productos como los NAS, routers, etc. Gadgets a los que prestamos menos atención en su apartado de ajustes.

Más información | Tangible Security Más información | Seagate, descargas firmware

Ver todos los comentarios en https://www.xatakahome.com

VER 0 Comentario

Portada de Xataka Smart Home