Στη τελευταία έκδοση firmware για επαγγελματικές συσκευές αποθήκευσης NAS της Seagate βρέθηκαν κάποιες ευάλωτες εκδόσεις των PHP και CodeIgniter στο μενού διαχείρισης που βασίζεται στο web, οι οποίες μπορεί να επιτρέψουν σε έναν απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα.
Το script της επίθεσης δε χρειάζεται να λάβει κάποιου είδους επικύρωση ώστε να εκμεταλλευτεί τα προβλήματα και είναι σε θέση να εκτελέσει κώδικα στο περιβάλλον root του χρήστη , που επιτρέπει πλήρη έλεγχο της συσκευής και ενδεχομένως να δώσει πρόσβαση και σε άλλες συσκευές του ίδιου δικτύου.
Η εταιρεία συμβούλων ασφαλείας Beyond Binary, ανακάλυψε ότι η εφαρμογή διαχείρισης που περιλαμβάνεται στο firmware 2014.00319 βασίζεται σε PHP 5.2.13 (Build 5.6.6, 5.5.22 και 5.4.38) και στο CodeIgniter 2.1.0 (Build 2.2.1), που έχουν γνωστά κενά ασφαλείας.
Στην περίπτωση της PHP, ένα παλιό ελάττωμα ασφαλείας με χαρακτηρισμό CVE-2006-7243 επιτρέπει μια null byte εισαγωγή (“\0”), η οποία μπλοκάρει τα πάντα μετά από αυτή. Αυτό μπορεί να επιτρέψει σε έναν εισβολέα να παρακάμψει τους περιορισμούς πρόσβασης, τοποθετώντας ένα ασφαλές αρχείο μετά το μηδενικό byte και να ανεβάσει το κακόβουλο κώδικα μέσω των functions require() και include ().
Στην περίπτωση της προβληματικής έκδοσης του CodeIgniter, μία web εφαρμογή ανοικτού κώδικα περιλαμβάνεται στις Seagate NAS συσκευές, έτσι ώστε να μπορεί να εξαχθεί το αρχείο της κρυπτογράφησης και να χρησιμοποιηθεί ώστε να αποκρυπτογραφηθεί το cookie της λειτουργίας που έγινε. Αλλάζοντας το περιεχόμενο του cookie, ο εισβολέας θα μπορούσε να πραγματοποιήσει επιπλέον επιθέσεις, όπως και να εισάγει κάποιο δικό του PHP object, σύμφωνα με τους ερευνητές.
Το πρόβλημα όμως είναι βαθύτερο, αφού όπως αναφέρει και η σχετική έκθεση της Beyond Binary, η Seagate χρησιμοποιεί το ίδιο κλειδί κρυπτογράφησης για ολόκληρη τη γραμμή των προβληματικών NAS συσκευών.
Από τη πλευρά της η Seagate αν και έχει ενημερωθεί για το θέμα, δεν έχει κάνει καμία ενέργεια ώστε να διορθώσει το πρόβλημα στις συσκευές NAS. Για το λόγο αυτό η Beyond Binary, προχώρησε στη δημοσιοποίηση του θέματος, αφού έληξε η περίοδος που είχε δώσει στη κατασκευάστρια των NAS, για διόρθωση των ευπαθειών.
