Un error en Seagate Media Server podría permitir la eliminación de contenido aleatorio por parte de usuarios sin autenticar.
Seagate Personal Cloud es una gama de dispositivos de almacenamiento conectado a la red (más conocidos como NAS, del inglés Network-Attached Storage) destinado a uso personal. Para permitir a los usuarios acceder fácilmente al contenido (películas, música, fotos, documentos, etc.) se incluye la aplicación Seagate Media Server. Además se posibilita el acceso a usuarios anónimos (sin autenticación) que, de manera predeterminada, pueden cargar ficheros en una carpeta pública del sistema.
La vulnerabilidad es debida a una falta de validación en la aplicación Seagate Media Server. Esta utiliza el framework Django y se han mapeado las extensiones ‘psp’ para que cualquier URL que termine con ella sea automáticamente procesado por la aplicación. Entre otras, las vistas ‘delete’ hacen uso de las extensiones ‘psp’, y además son accesibles por parte de cualquier usuario no autenticado.
Para aumentar la gravedad del asunto, Media Server se ejecuta con privilegios de root, por lo que prácticamente cualquier elemento del sistema de archivos podría verse afectado.
Además la aplicación carece de protección contra ataques CSRF y es accesible a través del dominio ‘personalcloud.local‘, por lo que sería posible aprovechar este problema a través de un sitio web malicioso sin que sea necesario acceder directamente al NAS.
Se propone la siguiente prueba de concepto:
 |
| Prueba de concepto |
Según Seagate «Personal Cloud es un lugar extraordinario y seguro donde puede cargar y almacenar toda su música y sus películas favoritas junto con las fotos de toda una vida. Todo», sin embargo para evitar la posibilidad de sufrir la pérdida de contenido es recomendable aplicar las actualizaciones disponibles.
jruiz@hispasec.com
Deja un comentario