Seagate
El Seagate Media Server és un mecanisme d'emmagatzematge adjunt a la xarxa UPnp / DLNA incorporat al Seagate Personal Cloud per a ús a nivell individual. En un assessorament al lloc web Summer of Pwnage de recerca d’errors de seguretat IoT, es van descobrir i discutir diverses vulnerabilitats d’injecció SQL al Seagate Media Server, que arriscaven a recuperar i modificar les dades personals emmagatzemades a la base de dades utilitzada pel servidor de suports.
El Seagate Personal Cloud és una instal·lació d’emmagatzematge al núvol que s’utilitza per emmagatzemar fotos, vídeos i altres tipus de contingut multimèdia al seu servidor de suports. A mesura que es carreguen les dades personals en aquest núvol, es protegeixen amb controls d'autorització i seguretat de contrasenya, però dins del seu disseny existeix una carpeta pública a la qual els usuaris no autoritzats tenen dret a penjar dades i fitxers.
D'acord amb la assessorament , aquesta funció de carpeta pública pot ser abusada per atacants malintencionats quan pengen fitxers i suports problemàtics a la carpeta del núvol. Els fitxers d’aquests atacants no autoritzats poden comportar-se tal com han estat dissenyats, permetent la recuperació i modificació de dades arbitràries a la base de dades del servidor de suports. Afortunadament, el fet que Seagate Media Server utilitzi una base de dades SQLite3 independent restringeix l'activitat maliciosa d'aquests atacants i fins a quin punt poden explotar aquesta vulnerabilitat.
A prova de concepte està disponible juntament amb l'assessorament que mostra que el marc web Django utilitzat al servidor de mitjans tracta d'extensions .psp. Totes les càrregues que continguin aquesta extensió es redirigeixen immediatament a la part del núvol Seagate Media Server mitjançant el protocol FastCGI. Manipular les extensions i injectar fitxers maliciosos al servidor multimèdia a través de la carpeta pública d’aquesta manera podria permetre als atacants executar codi per recuperar dades del servidor o modificar minuciosament el que ja hi ha.
Es va trobar que aquestes vulnerabilitats d'injecció SQL afectaven les versions de firmware 4.3.16.0 i 4.3.18.0 del Seagate Personal Cloud SRN21C. Tot i que aquests van ser els únics provats, el proveïdor espera que també es puguin veure afectades altres versions. Per mitigar els riscos que comporta, una nova versió de firmware 4.3.19.3 s’ha publicat per al Seagate Personal Cloud, que tanca la carpeta pública i els mecanismes de redirecció d’extensions que permeten aquest tipus de vulnerabilitat.
![TeamViewer ofereix accés gratuït a alguns usuaris empresarials a causa del coronavirus [no oficial]](https://jf-balio.pt/img/news/62/teamviewer-offers-free-access-some-business-users-due-coronavirus.jpg)
