Уязвимость в NAS Seagate позволяет хакеру взломать систему
Интернет

Уязвимость в NAS Seagate позволяет хакеру взломать систему

Сложность ситуации заключается в том, что основатели организации Seagate ситуацию никак не объясняют, а специалисты дыру не закрывают. В итоге уже пару месяцев в безопасности есть большая уязвимость, которая может использоваться хакерами. Обнаруженная проблема даёт удалённо скомпрометировать всю рабочую систему, а также получить контроль над разными секторами памяти. Главной же особенностью целенаправленного использования бреши становится получение привилегий суперпользователя, что позволило бы полностью управлять системой.

Все сведения и отчёты об уязвимости были опубликованы на портале Beyond Binary, а автором выступил Оу-Джей Ривз, видный исследователь в области безопасности. Статья не являлась учебным пособием по взлому, но её вполне могли использовать хакеры для проведения атак. Ривз лично отправил письмо Seagate, где описал обнаруженную ошибку. Однако ответа не последовало. Программисты Seagate не стали комментировать ситуацию, до сих пор не выпустили исправление, и даже не написали, собираются ли исправлять обнаруженную ошибку.

Представленные Seagate NAS-решения называются Seagate Business, контролируются они посредством специально разработанного веб-интерфейса. Его использование происходит через устаревшие протоколы передачи данных, которые и сами по себе-то не являются идеально защищёнными.

Ещё одной проблемой, выявленной специалистом по безопасности, является ключ шифрования. Он не генерируется каждый раз, когда пользователь обращается к сервису. У пользователя такой ключ остаётся постоянным, поэтому все данные сохраняются в файле cookie. Нужно ли говорить о том, что этот файл может быть подменён? У хакеров открываются отличные возможности по взлому всей системы в целом.

В веб-приложении используется та версия Lighttpd, которая разработана для взаимодействия с правами суперпользователя системы. В некоторых ситуациях это удобно, но только не в данной! В итоге получается, что любые удалённые хакерские действия, направленные против Lighttpd, автоматически приведут к тому, что все команды злоумышленника будут передаваться сразу на уровне суперпользователя. Вся остальная система безопасности NAS уже не будет иметь никакого значения. Эта ошибка также не была исправлена Seagate.

3 2233 Рейтинг 4.223/5 основан на 2233 просмотрах
Комментарии
  • Катя Седова

    до чего у людей соображалка доходит! страшно становится после таких новостей( лучше бы на пользу обществу что-нить придумали

    Sunday, 07-07-2019 23:02
  • KirK_kiev

    Полезная новость, спасибо.

    Monday, 08-07-2019 07:00
  • Antarct1c

    Prikolno! Rabotaet!

    Wednesday, 20-10-2021 18:28