Pour gérer vos consentements :

Les NAS de Seagate parsemés de failles critiques

Les experts de Tangible Security ont trouvé un certain nombre de failles de sécurité dans les unités de stockage réseau (NAS, pour Network Attached Storage) signées Seagate, rapporte BetaNews.

Les NAS pourvus de firmwares allant des versions 2.2.0.005 à 2.3.0.014 sont concernés. La mise à jour du micrologiciel des NAS Seagate devra être réalisée sans tarder. Et pour cause, puisque certaines failles sont critiques. À commencer par un service Telnet actif par défaut et accessible en root (avec le mot de passe standard du NAS). Une erreur de débutant.

Une autre vulnérabilité permet de télécharger tous les fichiers stockés sur le NAS, via son interface web. Les pages d’administration sont en effet accessibles sans saisir de mot de passe. Il suffit juste de connaître leur URL, pour passer au travers du contrôle de sécurité.

Prendre le contrôle du NAS avec un upload

Dernière faille repérée, il est possible d’uploader des fichiers exécutables sur le NAS. Un fichier PHP pourra ainsi être transmis dans l’arborescence du serveur web puis exécuté par le NAS en appelant son URL. Un simple script PHP de type <?php system($_GET[‘cmd’]); ?> permettra d’avoir un contrôle total sur le NAS.

Le firmware 3.4.1.105 corrige ces failles de sécurité, indique BetaNews. Il pourra être téléchargé depuis cette page web du site de Seagate.

>>> MAJ : Seagate précise que seules ses unités de stockage sans fil sont concernées : les Seagate Wireless Plus Mobile Storage, Seagate Wireless Mobile Storage et le LaCie FUEL.

À lire aussi, notre dossier programmation Raspberry Pi :
Raspberry Pi et développement : Apprendre à programmer (épisode 1)
Raspberry Pi et développement : Java SE, first class citizen (épisode 2)
Raspberry Pi et développement : C/C++ à toutes les sauces (épisode 3)
Raspberry Pi et développement : du calcul au Big Data (épisode 4)
Raspberry Pi et développement : .NET, avec ou sans Windows (épisode 5)
Raspberry Pi et développement : un RAD nommé Xojo (épisode 6)

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

6 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

6 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

10 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

13 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

15 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago