Gadgets

Buggy logiciel populaire de stockage connecté, les lecteurs peuvent laisser des pirates de lire les données privées

Des chercheurs en sécurité ont trouvé des failles dans les quatre populaire connecté disques de stockage qu’ils disent pourrait permettre à des pirates d’accéder à un privé de l’utilisateur et des données sensibles.

Les chercheurs Paulos Yibelo et Daniel Eshetu, a déclaré le logiciel en cours d’exécution sur trois des appareils testés — NetGear Stora, Seagate Maison et Medion LifeCloud — peut permettre à un attaquant de lire à distance, de modification et de suppression de données sans nécessiter un mot de passe.

Yibelo, qui a partagé la recherche à TechCrunch cette semaine et a publié les résultats de vendredi, a déclaré que de nombreux autres appareils peuvent être à risque.

Le logiciel, Hipserv, construit par l’entreprise de technologie Axentra, a été en grande partie à blâmer pour trois des quatre défauts qu’ils ont trouvé. Hipserv est basé sur Linux, et utilise plusieurs technologies web — y compris PHP — pour l’alimentation de l’interface web. Mais les chercheurs ont constaté que les bugs pourrait laisser de lire des fichiers sur le disque dur sans aucune authentification. Cela signifiait aussi qu’ils pourraient exécuter n’importe quelle commande ils voulaient en tant que “root” — le compte d’utilisateur intégré avec le plus haut niveau de l’accès de prise de données sur le périphérique vulnérable aux regards indiscrets ou la destruction.

Nous avons contacté Axentra pour le commentaire jeudi, mais n’a pas reçu de réponse au moment de la rédaction.

Un Netgear porte-parole a déclaré que le Stora est “n’est plus un produit pris en charge… parce qu’il a été abandonné et est un produit en fin de vie.” Seagate n’a pas de commentaire à faire par des à la date limite, mais nous allons mettre à jour si cela change. Lenovo, qui est maintenant propriétaire de Medion, n’a pas répondu à une demande de commentaire.

Les chercheurs ont également signalé un distinct bug affectant WD My Book Live lecteurs, ce qui peut permettre à un attaquant d’obtenir l’accès root à distance.

Un porte-parole de DEO a dit que la vulnérabilité affecte les appareils initialement mis en place en 2010 et supprimé en 2014, et “n’est plus couvert par notre logiciel de l’appareil de soutien du cycle de vie.” DEO a ajouté: “Nous encourageons les utilisateurs qui le souhaitent de poursuivre l’exploitation de ces anciens produits de configurer son pare-feu pour empêcher l’accès à distance à ces dispositifs, et de prendre des mesures pour s’assurer que seuls les appareils autorisés sur le réseau local peuvent accéder à l’appareil.”

Dans tous les quatre vulnérabilités, les chercheurs ont dit qu’un attaquant ne doit connaître l’adresse IP d’un lecteur concerné. Ce n’est pas si difficile en cette journée et l’âge, grâce à des sites comme Shodan, un moteur de recherche pour les appareils disponibles et les bases de données, et recherche similaires et les services d’indexation.

Selon l’endroit où vous regardez, le nombre d’appareils concernés varie. Shodan met le numéro de 311,705, mais ZoomEye estime que ce chiffre est à rapprocher de 1,8 million d’appareils.

Bien que les chercheurs ont décrit les bugs dans les formes modérées de détail, ils ont dit qu’ils n’ont pas l’intention de relâcher toute possibilité de code d’exploitation pour empêcher les attaquants de prendre avantage des failles.

Leurs conseils: Si vous utilisez un lecteur cloud“, assurez-vous de retirer votre appareil à partir d’internet.”

About the author

Cyriac

Je suis Zeh Cyriac , fondateur et chef de la direction de la société informatique DROP Corporation Inc. et blogueur indépendant aux États-Unis, avec une passion pour l'Entrepreneuriat en ligne, le marketing de contenu et toutes les choses qui tournent au tour du digital et ’informatique .

Add Comment

Click here to post a comment

Newsletter

Les dernières nouvelles du Web, de la high-tech et de l'innovation numérique tous les matins à l'heure du petit déjeuner.

Vous avez parfaitement souscrit ! Consultez vos mails pour confirmer l'inscription .