آسیب‌پذیری Zero-day محصول Seagate

Seagate، شرکت معروف سازنده هارد، دارای آسیب‌پذیری Zero-day در Network Attached Storage یا NAS تولیدی خود است که به هکرها اجازه می‌دهد تا از راه دور دسترسی root داشته باشند.

محصول Business Storage 2-Bay NAS product که در خانه و شرکت‌ها استفاده می‌شود دارای آسیب‌پذیری Zero-day است. هم‌اکنون 2500 دستگاه NAS از این مدل از طریق اینترنت قابل‌دسترسی هستند.

شرکت Seagate یکی از بزرگ‌ترین تولیدکنندگآن‌هارد در دنیا است که بعد از Western Digital، 41 درصد سهم بازار را در اختیار دارد.

آسیب‌پذیری محصول NAS این شرکت در اکتبر سال 2014 توسط محقق امنیتی OJ Reeves شناسایی شد اما هنوز این آسیب‌پذیری پس از گذشت 130 روز وصله نشده است.

به‌منظور استفاده از این آسیب‌پذیری، مهاجم باید در همان شبکه محصول NAS شرکت Seagate باشد. این محصول با یک نرم‌افزار بانام web-enabled management application مدیریت می‌شود که آسیب‌پذیر است. این نرم‌افزار شامل کدهای PHP نسخه 5.2.13، CodeIgniter نسخه 2.1.0 و Lighttpd نسخه 1.4.28 می‌شود که همگی قدیمی هستند.

نسخه 5.2.13 PHP دارای آسیب‌پذیری CVE-2006-7243 است که به هکر اجازه می‌دهد تا کنترل کامل بر روی مسیر فایل‌ها و فرمت آن‌ها می‌دهد.

هم‌چنین نسخه‌های CodeIgniter تا قبل از 2.2.0 دارای آسیب‌پذیری CVE-2014-8686 هستند که به هکر اجازه می‌دهد تا کلیدهای رمزنگاری و کوکی‌ها را به دست آورد.