Nově odhalené bezpečnostní chyby se týkají externích úložišť s bezdrátovým připojením značky Seagate, konkrétně Seagate Wireless Plus Mobile Storage, Seagate Wireless Mobile Storage a LaCie Fuel zakoupených po říjnu 2014. Postižená však mohou být i jiná zařízení téže značky i jiných velkých výrobců.
Nejzávažnější chybou je pevně dané uživatelské jméno a heslo pro administrátorský přístup k zařízení. Pomocí nedokumentované služby Telnet může útočník na dálku získat plný přístup k úložišti – ovládat jej, manipulovat se soubory a dokonce jej využít k útokům na jiná zařízení.
A jaké že je ono přístupové jméno a heslo? Obojí shodně „root“.
Druhá bezpečnostní chyba dává útočníkovi, který se nachází v dosahu bezdrátového připojení daného zařízení, neomezenou možnost stahovat soubory. A konečně třetí chyba umožňuje útočníkovi do úložiště nahrát jakýkoli soubor včetně škodlivého softwaru k útokům na jiná zařízení, která jsou k napadenému úložišti připojená. Tato chyba však vyžaduje, aby některý uživatel nejprve otevřel podstrčený nakažený soubor.
Uživatelé bezdrátových úložišť Seagate s verzemi firmwaru 2.2.0.005 nebo 2.3.0.014 si mohou stáhnout opravu přímo od společnosti Seagate v podobě aktualizace na verzi 3.4.1.105. V případě pochyb je možné využít nástroj Seagate Download Finder, který po zadání sériového čísla zařízení nabídne příslušné aktualizace.
Bezpečnostní odborníci doporučují s aktualizací neváhat, protože zranitelnosti jsou veřejné známé již nejméně týden.
PŘEDPLATNÉ
ČLÁNKY DO MAILU