«Закладка» в жестких дисках Seagate позволяет получить доступ к данным
07.09.2015, ПН, 17:55, Мск,
Текст: Сергей Попсулин
Во внешних жестких дисках Seagate обнаружена недокументированная функция, позволяющая вместе с двумя другими уязвимости получить удаленный доступ к данным, используя стандартные логин и пароль.
Недокументированная функция
Специалист по компьютерной безопасности Кен Уайт (Kenn White) из Tangible Security раскритиковал крупнейшего производителя жестких дисков Seagate Technology за пренебрежительное отношение к защите пользовательских данных, хранящихся на устройствах ее производства.
Дело в том, что в некоторых моделях внешних жестких дисков Seagate производителем предусмотрена недокументированная функция удаленного доступа по протоколу Telnet, воспользоваться которой можно, указав «root» в качестве логина и стандартный пароль.
Проблема обнаружена в прошивках 2.2.0.005 и 2.3.0.014, выпущенных в октябре 2014 г. О ее наличии компания была уведомлена в марте 2015 г.
Уязвимые модели
Недокументированная функция, в частности, содержится в моделях Seagate Wireless Plus Mobile Storage и Seagate Wireless Mobile Storage, а также во внешнем накопителе LaCie Fuel производства дочерней компании LaCie, которую Seagate приобрела в 2012 г. Все эти устройства имеют встроенный модуль Wi-Fi для беспроводного доступа к данным.
Уровень угрозы
По словам экспертов Tangible Security, благодаря встроенной поддержке Telnet со стандартными параметрами доступа наряду с двумя другими уязвимости в прошивках указанных жестких дисков злоумышленники могут удаленно, через сеть, получить доступ к произвольным файлам, записанным на них, а также удалять все хранящиеся на них данные или заменять их.
Критика
«Конечно, люди не ждут от устройств Seagate защиты на уровне Министерства обороны. Но, пожалуйста, хотя бы прекратите оснащать жесткие диски функцией доступа со вшитыми в прошивку логином и паролем», — заявил Уайт в Twitter.
Компания Seagate на просьбу издания CNet прокомментировать информацию не ответила. В последних версиях прошивок для указанных устройств вендор устранил уязвимость. Они уже доступны для загрузки. Согласно договоренности, Tangible Security обнародовала информацию после выпуска обновлений.