Seagate宣布了有關其某些無線硬盤驅動器的固件問題的檢測和修復。
從2014年10月開始,包含固件版本2.2.0.005和2.3.0.014的三個硬盤驅動器處於危險之中:Seagate Wireless Plus移動存儲,Seagate Wireless Mobile Storage和Lacie Fuel。
隨著像Seagate這樣強大的品牌發生,每種產品的市場上都有一個以上的名稱,這實際上意味著脆弱性圈子可能更寬。其他供應商與Seagate有合同,使他們可以以不同的名稱出售硬件。這意味著只有Seagate才能提供所有受影響的命名產品的綜合列表。
這是危險:
惡意使用硬編碼的憑據
描述:脆弱硬盤驅動器的固件具有telnet服務,可以通過使用“ root”作為用戶名和默認密碼的出廠憑據來達到服務。
可能發生的事情:該設備可以由肇事者離散地控制,並影響文件的機密性級別和HDD連接到系統的安全性。
代碼:CVE-2015-2874和CWE-798。
直接請求(“強制瀏覽”)
描述:受苦的硬盤驅動器固件提供免費文件下載容量
可能發生的事情:肇事者可以訪問設備上的所有文件。為此,黑客必須在受影響設備的無線信號的範圍內。
代碼:CVE-2015-2875和CWE-425。
Unregu用危險類型上傳文件
描述:受影響的硬盤驅動器固件提供了對設備 /媒體 / SDA2文件系統的文件上傳可能性,該文件通常僅用於文件共享。
可能發生的事情:攻擊者仍然必須在對象的無線網絡的範圍內,並且可以將隨機文件上傳到其中。如果這些文件包含惡意軟件,它們可能會在訪問它們的端點處造成損壞。
代碼:CVE-2015-2876和CWE-434。
Seagate進行了固件更新可用的,修復漏洞。
鼓勵擁有這些設備(包括較舊型號)的用戶下載並安裝Seagate提供的最終固件更新。避免更新會使硬盤驅動器及其客戶或家庭的用戶面臨更高的網絡犯罪風險。
從有形安全的艾倫·哈珀(Allen Harper),J。 Rach和Mike Baucom獲得讚譽裸露Seagate生產的無線存儲硬件中的基本負債。有形的安全性還向西門特(Seagate)致力於改善其產品並確保客戶更加安全。
