Seagate Personal Cloud Media Server'daki SQL Enjeksiyon Güvenlik Açıkları, Özel Verilerin Geri Alınmasına İzin Veriyor -k2rx.com

Seagate Personal Cloud Media Server'daki SQL Enjeksiyon Güvenlik Açıkları, Özel Verilerin Geri Alınmasına olanak tanır

Güvenlik / Seagate Personal Cloud Media Server'daki SQL Enjeksiyon Güvenlik Açıkları, Özel Verilerin Geri Alınmasına olanak tanır 1 dakika okundu

Seagate

Seagate Media Server, bireysel düzeyde kullanım için Seagate Personal Cloud'a dahil edilmiş bir UPnp / DLNA Ağa Bağlı Depolama mekanizmasıdır. IoT güvenlik hata avı web sitesi Summer of Pwnage'daki bir danışma belgesinde, Seagate Media Server'daki birkaç SQL enjeksiyon güvenlik açığı keşfedildi ve tartışıldı, bu da medya sunucusu tarafından kullanılan veritabanında depolanan kişisel verilerin alınması ve değiştirilmesi riskini doğurdu.

Seagate Personal Cloud, medya sunucusunda fotoğrafları, videoları ve diğer multimedya türlerini depolamak için kullanılan bir bulut depolama tesisidir. Kişisel veriler bu buluta yüklenirken, yetkilendirme kontrolleri ve şifre güvenliği ile korunur, ancak düzeninde, yetkisiz kullanıcıların veri ve dosya yükleme hakkına sahip olduğu bir ortak klasör bulunur.

Göre tavsiye Bu ortak klasör özelliği, buluttaki klasöre zahmetli dosyalar ve ortam yüklediklerinde kötü niyetli saldırganlar tarafından kötüye kullanılabilir. Bu yetkisiz saldırganların dosyaları, daha sonra tasarlandıkları şekilde davranabilir ve medya sunucusunun veritabanında rastgele veri alma ve değiştirmeye olanak tanır. Neyse ki, Seagate Media Server'ın ayrı bir SQLite3 veritabanı kullanması, bu tür saldırganların kötü niyetli faaliyetlerini ve bu güvenlik açığından ne ölçüde yararlanabileceklerini kısıtlıyor.

KİME kavramın ispatı medya sunucusunda kullanılan Django web çerçevesinin .psp uzantılarıyla ilgilendiğini gösteren danışma belgesinin yanında mevcuttur. Bu uzantıyı içeren tüm yüklemeler, FastCGI protokolü aracılığıyla bulutun Seagate Media Server bölümüne hemen yönlendirilir. Uzantıları manipüle etmek ve kötü amaçlı dosyaları bu şekilde ortak klasör aracılığıyla medya sunucusuna enjekte etmek, saldırganların sunucudan veri almak için kod çalıştırmasına veya zaten orada olanı çok az değiştirmesine olanak sağlayabilir.

Bu SQL enjeksiyon güvenlik açıklarının Seagate Personal Cloud SRN21C'nin 4.3.16.0 ve 4.3.18.0 ürün yazılımı sürümlerini etkilediği görülmüştür. Bunlar yalnızca test edilenler olsa da, satıcı diğer sürümlerin de etkilenebileceğini umuyor. Ortaya çıkan riskleri azaltmak için yeni bir aygıt yazılımı sürümü 4.3.19.3 Bu tür bir güvenlik açığına izin veren ortak klasörü ve uzantı yeniden yönlendirme mekanizmalarını kapatan Seagate Personal Cloud için piyasaya sürüldü.