Vulnerabilidad ZERO DAY en productos NAS de Seagate

Seagate, el popular proveedor de soluciones de hardware, tiene una vulnerabilidad crítica “ZERO DAY” en sus sistemas NAS (Almacenamiento conectado a red) que dejó a miles de sus usuarios vulnerables.

El producto afectado es Business Storage 2-Bay NAS, que se encuentra en redes domésticas y empresariales, tiene una vulnerabilidad día cero de ejecución remota de código que afecta actualmente a más de 2mil 500 dispositivos que son públicos en Internet.

Seagate es uno de los mayores proveedores de soluciones en hardware en el mundo. Después de Western Digital, Seagate ocupó el segundo lugar y tiene el 41% del mercado mundial en productos de almacenamiento.

Un investigador de seguridad llamado OJ Reeves descubrió la vulnerabilidad de día cero de ejecución de código remoto el 7 de octubre del año pasado, Reeves informó a la empresa bajo lineamientos éticos pero incluso después de 130 días de divulgación responsable, el fallo de día cero permanece sin solución.

Para aprovechar esta vulnerabilidad, un atacante debe estar en la misma red que el dispositivo vulnerable. La falla consiste en obtener los privilegios administrativos sin la necesidad de un inicio de sesión. Reeves también lanzó un exploit en python para usarse en conjunto con Metasploit, el cual se encuentra disponible en Github.
Según Reeves, no hay una versión actualizada del firmware disponible para descargar que contenga las actualizaciones para solucionar estos problemas, incluso después de contactar varias veces a la compañía.

Se recomienda a los usuarios de los productos NAS de Seagate y de otros productos que utilizan el firmware vulnerable asegurarse que sus dispositivos no sean accesibles a través de Internet y mantener los dispositivos detrás de un Firewall configurado para permitir sólo un conjunto de direcciones IP de confianza.

Ver informacion original al resspecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2150