Un error en Seagate
Media Server podría permitir la eliminación de contenido aleatorio por parte de
usuarios sin autenticar.
Seagate Personal
Cloud es una gama de dispositivos de almacenamiento conectado a la red (más
conocidos como NAS, del inglés Network-Attached Storage) destinado a uso
personal. Para permitir a los usuarios acceder fácilmente al contenido
(películas, música, fotos, documentos, etc.) se incluye la aplicación Seagate
Media Server. Además se posibilita el acceso a usuarios anónimos (sin
autenticación) que, de manera predeterminada, pueden cargar ficheros en una
carpeta pública del sistema.
La vulnerabilidad es
debida a una falta de validación en la aplicación Seagate Media Server. Esta
utiliza el framework Django y se han mapeado las extensiones 'psp' para que
cualquier URL que termine con ella sea automáticamente procesado por la
aplicación. Entre otras, las vistas 'delete' hacen uso de las extensiones
‘psp’, y además son accesibles por parte de cualquier usuario no autenticado.
Para aumentar la
gravedad del asunto, Media Server se ejecuta con privilegios de root, por lo
que prácticamente cualquier elemento del sistema de archivos podría verse afectado.
Además la aplicación
carece de protección contra ataques CSRF y es accesible a través del dominio
'personalcloud.local', por lo que sería posible aprovechar este problema a
través de un sitio web malicioso sin que sea necesario acceder directamente al
NAS.
Se ha corroborado el
error en dispositivos con el firmware 4.3.16.0, aunque otras versiones podrían
verse afectadas también. Seagate ha liberado la versión 4.3.18.0 del firmware
que corrige este problema.
Según Seagate
"Personal Cloud es un lugar extraordinario y seguro donde puede cargar y
almacenar toda su música y sus películas favoritas junto con las fotos de toda
una vida. Todo", sin embargo para evitar la posibilidad de sufrir la
pérdida de contenido es recomendable aplicar las actualizaciones disponibles.
Más información:
- Seagate Media Server allows deleting of arbitrary files and folders https://sumofpwn.nl/advisory/2017/seagate-media-server-allows-deleting-of-arbitrary-files-and-folders.html
Fuente: Hispasec
