Seguridad

Vulnerabilidad en Seagate Media Server permitiría el borrado aleatorio de ficheros y carpetas

Un error en Seagate Media Server podría permitir la eliminación de contenido aleatorio por parte de usuarios sin autenticar.

Seagate Personal Cloud es una gama de dispositivos de almacenamiento conectado a la red (más conocidos como NAS, del inglés Network-Attached Storage) destinado a uso personal. Para permitir a los usuarios acceder fácilmente al contenido (películas, música, fotos, documentos, etc.) se incluye la aplicación Seagate Media Server. Además se posibilita el acceso a usuarios anónimos (sin autenticación) que, de manera predeterminada, pueden cargar ficheros en una carpeta pública del sistema.

La vulnerabilidad es debida a una falta de validación en la aplicación Seagate Media Server. Esta utiliza el framework Django y se han mapeado las extensiones ‘psp’ para que cualquier URL que termine con ella sea automáticamente procesado por la aplicación. Entre otras, las vistas ‘delete’ hacen uso de las extensiones ‘psp’, y además son accesibles por parte de cualquier usuario no autenticado.

Para aumentar la gravedad del asunto, Media Server se ejecuta con privilegios de root, por lo que prácticamente cualquier elemento del sistema de archivos podría verse afectado.

Además la aplicación carece de protección contra ataques CSRF y es accesible a través del dominio ‘personalcloud.local‘, por lo que sería posible aprovechar este problema a través de un sitio web malicioso sin que sea necesario acceder directamente al NAS.

Se propone la siguiente prueba de concepto:

Prueba de concepto
Se ha corroborado el error en dispositivos con el firmware 4.3.16.0, aunque otras versiones podrían verse afectadas también. Seagate ha liberado la versión 4.3.18.0 del firmware que corrige este problema.

Según Seagate «Personal Cloud es un lugar extraordinario y seguro donde puede cargar y almacenar toda su música y sus películas favoritas junto con las fotos de toda una vida. Todo», sin embargo para evitar la posibilidad de sufrir la pérdida de contenido es recomendable aplicar las actualizaciones disponibles.

Juan José Ruiz
jruiz@hispasec.com

Más información:

Seagate Media Server allows deleting of arbitrary files and folders






Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.