Hardeschijffabrikant Seagate heeft een firmware-update uitgebracht voor de Personal Cloud NAS wegens een kwetsbaarheid waardoor een aanvaller op afstand bestanden kon verwijderen. Securitybedrijf Securify ontdekte dat de Seagate Media Server die op de NAS draait door een ongeauthenticeerde aanvaller gebruikt kan worden om willekeurige bestanden en mappen te verwijderen.
De Media Server draait met rootrechten en heeft geen bescherming tegen cross-site request forgery (CSRF). Daarbij worden kwaadaardige acties vanuit de browser van de gebruiker uitgevoerd. Daardoor lijkt het voor een applicatie dat het de gebruiker is die de acties uitvoert, terwijl het in werkelijkheid om acties van een aanvaller gaat. Tevens bleek de applicatie via de personalcloud.local domeinnaam toegankelijk te zijn. Zodoende kon de kwetsbaarheid via een kwaadaardige website worden aangevallen, zonder dat de NAS direct via het internet toegankelijk was. Seagate heeft de kwetsbaarheid in firmware-versie 4.3.18.0 gepatcht.
Deze posting is gelocked. Reageren is niet meer mogelijk.