Une faille Zero-Day touche les NAS Seagate !
On ne présente plus la marque Seagate, connue et reconnue pour ses solutions de stockage. Aujourd'hui, je ne vais pas vous annoncer la sortie d'un nouveau disque dur, mais la présence d'une vulnérabilité critique au sein des NAS Seagate.
Le NAS "Business Storage 2-Bay", utilisé aussi bien à la maison qu'en entreprise, est vulnérable à cette faille qui permet d'exécuter du code à distance en tant que root. Cette faille concernerait plus de 2 500 NAS exposés publiquement sur Internet.
Une faille connue par Seagate mais non corrigée !
Le 7 octobre 2014, le chercheur en sécurité OJ Reeves a découvert cette vulnérabilité et a informé Seagate. Aujourd'hui, Seagate n'a toujours pas corrigé la faille !
Pour exploiter cette vulnérabilité, l'attaquant doit être sur le même réseau que le NAS vulnérable, et pourra obtenir un accès root facilement sans avoir besoin d'un login valide. OJ Reeves a publié un script Python pour exploiter la vulnérabilité, et un module pour Metasploit et également disponible sur Github.
Les origines de cette vulnérabilité
Le NAS "Business Storage 2-Bay" est fourni avec une application de gestion en mode web, qui permet à l'administrateur de gérer son appareil.
Cette application web tourne autour de trois composants : PHP 5.2.13, CodeIgniter 2.1.0 et Lighttpd 1.4.28. Deux de ces composants sont vulnérables :
- PHP 5.2.13 : CVE-2006-7243
- CodeIgniter 2.2.0 : CVE-2014-8686
Les produits Seagate vulnérables
Deux différents NAS sont vulnérables à cette vulnérabilité. La dernière version du firmware des NAS Seagate listés ci-dessous est affectée :
- Business Storage 2-Bay NAS version 2014.00319
- Business Storage 2-Bay NAS version 2013.60311
Étant donné que Seagate n'a toujours pas corrigé cette vulnérabilité, malgré de nombreuses relances de la part de OJ Reeves, vous devez protéger votre NAS et vos données. Pour cela, assurez-vous que votre NAS n'est pas accessible publiquement, c'est à dire depuis internet. Sinon, protégez-le derrière un pare-feu et autorisez uniquement certaines adresses IP de confiance à se connecter.