El popular fabricante de soluciones de hardware Seagate tiene una vulnerabilidad zero-day en sus dispositivos NAS (Network Attached Storage) que deja expuestos a miles de sus usuarios a ataques.  

El investigador de seguridad OJ Reeves ha descubierto que una brecha en los dispositivos Seagate NAS que tiene serias vulnerabilidades. En concreto se trata del dispositivo Business Storage 2-Bay, que es usado en redes domésticas y profesionales, y contiene la vulnerabilidad Remote Code Execution.

Según ha explicado el investigador a Digital Times, mediante el uso de Shodan, el buscador que rastrea dispositivos conectados a la red, encontró más de 2.500 dispositivos potencialmente vulnerables.

Para explotar la vulnerabilidad, el atacante debe estar en la misma red que el dispositivo vulnerable, lo que ofrece al atacante acceso Root al dispositivo son necesidad de validarse.

Los productos NAS de Seagate cuentan con una herramienta web de gestión y que los administradores pueden usar para configurar funciones, controles de acceso o usuarios.

StorageReview-Seagate-Business-Storage-NAS

Pero el descubrimiento no es reciente. Reeves encontró esta vulnerabilidad en octubre de 2014, y realizó una serie de pruebas. Ese mismo mes se puso en contacto con Seagate para avisarles del problema. Meses después, y tras conversaciones frustradas con la compañía, el fallo sigue activo, por lo que el investigador ha decidido hacerlo público.  

 

 

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

Deja un comentario