Οι διαχειριστές των συστημάτων αποθήκευσης Business Storage 2-Bay NAS της Seagate, θα πρέπει να περιμένουν μέχρι το Μάιο, την εταιρεία να κυκλοφορήσει νέο fix, ώστε να διορθώσει το bug που επέτρεπε την εκτέλεση απομακρυσμένου κώδικα, όπως ανακαλύφθηκε στις αρχές του μήνα.
Η εταιρεία συμβούλων ασφάλειας Beyond Binary, αποκάλυψε την 1η Μαρτίου ότι το firmware ορισμένων NΑS συσκευών από την Seagate, περιείχε εκδόσεις PHP και CodeIgniter, με γνωστά τρωτά σημεία.
Η προεπιλεγμένη ρύθμιση παραμέτρων για τα Business Storage 2-Bay NΑS, περιορίζει την πρόσβαση στη μονάδα αποθήκευσης από μια απομακρυσμένη τοποθεσία.
Κατά τη στιγμή της έρευνας, η Αυστραλιανή εταιρεία ασφαλείας, είχε βρει περισσότερες από 2.500 NΑS συσκευές, που έτρεχαν το ελαττωματικό firmware με έκδοση 2014.00319. Οι ερευνητές χρησιμοποίησαν τη μηχανή αναζήτησης Shodan για να βρουν τις συνδέσεις που είχαν γίνει.
Η Seagate αμέσως υποβάθμισε τον κίνδυνο ασφαλείας που μπορεί να έχουν τα συστήματα αυτά, αναφέροντας ότι είναι, ένα αρκετά απίθανο σενάριο να γίνει hacked το NAS μέσω διαδικτύου. Ωστόσο, δημοσίευσε οδηγίες, προς τους διαχειριστές, για την διασφάλιση των συσκευών.
Ο αριθμός των μονάδων που διατρέχουν κίνδυνο μπορεί να μην είναι μεγάλος, αλλά λαμβάνοντας υπόψη ότι το προϊόν προορίζεται για επαγγελματική χρήση, οι εταιρείες που το χρησιμοποιούν θα μπορούσαν να πάθουν αρκετά μεγάλη ζημιά, όσον αφορά τα δεδομένα τους.
Πριν από τη δημοσιοποίηση των αποτελεσμάτων της έρευνας, η εταιρεία ασφαλείας ήρθε σε επαφή με τη Seagate τον Οκτώβριο του 2014 για πρώτη φορά. Η Seagate αναγνώρισε το πρόβλημα αμέσως αλλά δεν ανέφερε ότι θα ξεκινούσε την κατασκευή νέου firmware.
Μέχρι τη νέα ενημέρωση, που θα διατίθεται από το Μάιο, η ακριβής ημερομηνία κυκλοφορίας δεν είναι ακόμη διαθέσιμη, η Seagate συνιστά στους χρήστες να απενεργοποιήσουν το UPnP port forwarding και την υπηρεσία FTP από τη σελίδα διαχείρισης του Business Storage NΑS.
