Alfonso Maruccia

Seagate ancora nei guai per lo storage NAS

Il colosso dell'archiviazione deve fare i conti con l'ennesima falla di sicurezza nelle sue unità NAS, un problema potenzialmente sfruttabile da remoto che è stato in ogni caso già risolto con un aggiornamento rilasciato in sordina

Roma - Seagate torna a far parlare di se per le vulnerabilità di sicurezza all'interno delle sue unità di storage esterne, un problema che questa volta riguarda il prodotti NAS della linea Personal Cloud Home Media Storage e che potrebbe potenzialmente provocare la compromissione del dispositivo - e quindi dei dati dell'utente - da parte di un malintenzionato che agisse da remoto.

I ricercatori hanno individuato la nuova vulnerabilità all'interno di Media Server, una app Web accessibile dall'interfaccia di controllo del NAS che permette agli utenti di impostare l'accesso via Internet ai dati archiviati sul dispositivo presente nella LAN locale.

Inviando richieste malformate a due diversi file del firmware del NAS (getLogs, uploadTelemetry), dicono i ricercatori, è possibile spingere l'applicazione Media Server a eseguire comandi direttamente all'interno del firmware senza alcun bisogno di autenticazione.
Il problema è potenzialmente molto pericoloso, visto che chi ha scoperto le falle ha realizzato anche un codice proof-of-concept in grado di abilitare l'accesso remoto tramite SSH per modificare la password root. Più complicato è lo sfruttamento del problema da remoto, e i possibili vettori di attacco includono l'uso di codice malevolo nascosto nei banner pubblicitari o il phishing.

Anche se non si tratta di una vera e propria backdoor come nel caso recente che ha coinvolto Western Digital, insomma, il consiglio è come sempre quello di aggiornare: nonostante la scarsa propensione a comunicare con chi le ha scoperte, Seagate ha già chiuso le falle con la versione version 4.3.18.0 del firmware Personal Cloud.

Alfonso Maruccia
Notizie collegate
3 Commenti alla Notizia Seagate ancora nei guai per lo storage NAS
Ordina
  • Quanti di voi sono disposti (se già non lo hanno) a farsi un miniPC celeron o simile con 4/8Gb di ram ed un paio di SSD economici/un paio di HD grandini da usare come server di casa:
    - DNS per la LAN, eventuale proxy vari
    - File server per multimedia&c in casa
    - File server verso internet per quel che potreste volere in giro
    - Contacts/Calendar server (Radicale ad es.)
    - Centralino SIP (Yate/Asterisk ...)
    - ...
    da usare e mantenere *al posto* di n ammennicoli del menga?

    Personalmente ho fatto una soluzione simile, il consumo elettrico è leggermente superiore alla somma dei singoli devices ma è decisamente e piacevolmente comodo.
    non+autenticato
  • > - Centralino SIP (Yate/Asterisk ...)

    posta la tua configurazione di asterisk che sono curioso di vederla
    non+autenticato
  • Asterisk l'ho solo provato e non mi ci sono trovato, ad oggi il mio miniserver comprende
    - radicale per contatti/calendario su Android
    - OfflineIMAP+notmuch+script vari per gestire il loco la posta
    - muchsync+ssh per copiare la posta su desktop/laptop
    - dovecot per servire la posta su K9 su Android
    - un po' di servizi LAN incluso TVHeadEnd per aver la tv su ip
    - essenziali vari (ferm come fw, dns+dhcp via dnsmasq ecc)
    in seguito conto di aggiungere Yate (al posto di Asterisk) per aver i numeri VoIP che uso (Messagenet, Ippi e Free) sparsi su 4 telefoni VoIP locali (scrivania, salotto, terrazzo, garage) facendoli suonare tutti insieme e prendendo la chiamata dal primo che ho sottomano, più eventuale uso interfono locale, più avanti se mi capita di trovare un citofono IP SIP (che non costi 6-700 euro però) volevo integrarlo sia in locale che in remoto, su Android dove uso CSipSimple al posto di Zoiper così da poter "rispondere" al citofono se non sono in casa. Più avanti ancora vorrei mettere 4 ip cam (Axis&c, non rumenta) stram-abili con camstream ma per ora questo è solo nella wishlist... Forse nelle prossime vacanze Sorride
    non+autenticato