Seagate dikabarkan telah memperbaiki bug berbahaya dalam perangkat NAS (Network Attached Storage).

Kerentanan tersebut mempengaruhi Media Server, sebuah aplikasi web yang berjalan di perangkat NAS dan memungkinkan pengguna untuk berinteraksi dengan data yang tersimpan pada perangkat melalui koneksi jaringan.

Unauthenticated Command Injection Ditemukan Di Seagate NAS

Media Server berjalan di atas aplikasi Django (Python). Seorang peneliti keamanan bernama Yorick Koster menemukan bahwa jika penyerang membuat permintaan yang salah satu dari ke dua file (getLogs dan uploadTelemetry), maka dapat mengelabui aplikasi tersebut untuk menjalankan perintah pada perangkat.

Kerentanan tersebut – unauthenticated command injection – memungkinkan penyerang untuk menjalankan perintah pada firmware dari perangkat via web management interface.

Namun, interface ini hanya bisa diakses dari jaringan lokal. Satu-satunya cara untuk menyerang kerentanan ini adalah dengan menipu pengguna untuk mengakses URL yang palsu saat berada di jaringan yang sama (LAN) dengan perangkat NAS.

Hal ini bisa dilakukan baik dengan phishing maupun malvertising. Phishing dapat digunakan untuk serangan yang ditargetkan, sementara malvertising dapat digunakan untuk eksploitasi massal.

Penyerang bisa menyematkan kode serangan untuk mengeksploitasi perangkat NAS di dalam iklan. Saat pemilik NAS mengakses situs dengan iklan jahat tersebut, kode tersembunyi dalam iklan tersebut akan berinteraksi dengan perangkat NAS yang rentan.

Dan Akhirnya Seagate Memperbaiki Kerentanan Ini Secara Diam-Diam

Koster dari BeyondSecurity telah menghubungi Seagate untuk menginformasikan tentang masalah yang dia temukan ini.

Seagate diberitahu tentang kerentanan tersebut pada 16 Oktober, namun saat penerimaan informasi kerentanan, Seagate menolak untuk menanggapi klaim teknis tersebut, Seagate meminta waktu untuk berkoordinasi,tulis BeyondSecurity.

Tapi Koster mengetahui setelah Seagate mengabaikan laporan kerentanan tersebut, Seagate langsung memperbaiki bug yang dia laporkan dengan diam-diam.


Like it? Share with your friends!

Comments

error: Content is protected !!