Seagate
Seagate Media Server je mechanismus síťového připojení UPnp / DLNA integrovaný do osobního cloudu Seagate pro použití na individuální úrovni. V informačním zpravodaji týkajícím se webu pro vyhledávání chyb zabezpečení IoT Summer of Pwnage bylo objeveno a projednáno několik chyb zabezpečení SQL Injection na serveru Seagate Media Server, což riskovalo načítání a úpravu osobních údajů uložených v databázi používané serverem médií.
Seagate Personal Cloud je cloudové úložiště, které se používá k ukládání fotografií, videí a dalších druhů multimédií na mediálním serveru. Protože se osobní data nahrávají do tohoto cloudu, jsou chráněna autorizačními kontrolami a zabezpečením heslem, ale v rámci jeho rozložení existuje veřejná složka, do které mají neoprávněné uživatelé právo nahrávat data a soubory.
Podle poradní , toto zařízení veřejné složky může být zneužito škodlivými útočníky, když nahrají problematické soubory a média do složky v cloudu. Soubory těchto neoprávněných útočníků se pak mohou chovat tak, jak byly navrženy, což umožňuje libovolné načítání a úpravy dat v databázi mediálního serveru. Skutečnost, že server Seagate Media Server používá samostatnou databázi SQLite3, naštěstí omezuje škodlivou aktivitu těchto útočníků a rozsah, v jakém mohou tuto chybu zabezpečení zneužít.
NA ověření konceptu je k dispozici spolu s poradenstvím, které ukazuje, že webový rámec Django používaný na serveru médií se zabývá příponami .psp. Jakákoli nahraná videa, která obsahují toto rozšíření, jsou okamžitě přesměrována do cloudové části Seagate Media Server prostřednictvím protokolu FastCGI. Manipulace s příponami a vkládání škodlivých souborů na server médií prostřednictvím veřejné složky tímto způsobem by mohla útočníkům umožnit spuštění kódu k načtení dat ze serveru nebo drobnou úpravu toho, co tam již je.
Bylo zjištěno, že tyto chyby zabezpečení SQL injection ovlivňují verze firmwaru 4.3.16.0 a 4.3.18.0 Seagate Personal Cloud SRN21C. Ačkoli to byli jediní testovaní, prodejce očekává, že mohou být ovlivněny i další verze. Ke zmírnění představovaných rizik nová verze firmwaru 4.3.19.3 byla vydána pro osobní cloud Seagate, který zavírá mechanismy přesměrování veřejné složky a rozšíření, které umožňují tento druh chyby zabezpečení.
