Összefoglaló
Seagate hálózati adattároló nulladik napi sérülékenységei váltak ismertté.
Leírás
Ezekben az adattárolókban a rendszergazdák számára engedélyezett a web alapú menedzsment applikáció, így távolról konfigurálhatóak az eszközök. A biztonsági hibát az okozza, hogy ennek az alkalmazásnak több beépülő modulja is ismert sérülékenységekkel rendelkezik. A sérülékeny beépülő modulok:
- PHP 5.2.13
- CodeIgniter 2.1.0
- Lighttpd 1.4.28
A hibákat kihasználva a támadó tetszőleges kódot futtathat a sérülékeny rendszeren.
Megoldás
Javító patch még nem érhető el, az eszközt tegye az internet felől elérhetetlenné.
Támadás típusa
Authentication Issues (Hitelesítés)execute arbitrary code
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2006-7243 - NVD CVE-2006-7243
CVE-2014-8686 - NVD CVE-2014-8686
Gyártói referencia: www.seagate.com
Egyéb referencia: beyondbinary.io
Egyéb referencia: securityaffairs.co