Les produits Goflex Home et Personal Cloud de Seagate vulnérables à des attaques d’injection de code (XSS) et d’homme du milieu

En synthèse

Plusieurs vulnérabilités importantes ont été découvertes sur plus de 33 000 produits Personal Cloud et Goflex de la société Seagate :

  • La première vulnérabilité porte sur l’utilisation de protocoles d’échanges obsolètes SSLv2 et SSLv3 au niveau des produits de stockage NAS, GoFlex Home. Elle permettrait une attaque d’homme du milieu sur les services d’administration à distance et de téléchargement des données.
  • La deuxième vulnérabilité porte sur l’existence d’une faille de type injection XSS au niveau du portail seagateshare.com. Elle permettrait du vol de session et de l’exécution de code malveillant à l’insu de la victime.
  • La troisième vulnérabilité porte sur la présence de faille d’injection de code et de suppression de fichiers sur les produits Personal Cloud NAS. Elle permettrait l’exécution de code arbitraire en mode administrateur sur l’application Seagate Media Server (application permettant l’accès et la gestion des photos, musiques et vidéos sur le NAS).

Ces vulnérabilités ont été découvertes fin Septembre 2017 par un chercheur et rendues publiques le lundi 22 Janvier. Dans un communiqué officiel, Seagate précise que des patchs de sécurité ont été mis à disposition pour la correction des vulnérabilités d’injection XSS sur le portail seagateshare.com et d’injection de code sur les produits Personal Cloud NAS. Toutefois, l’entreprise signale qu’aucun plan d’action n’est prévu pour la résolution de la vulnérabilité associée à l’utilisation de SSLv2 et SSLv3.

Détails techniques

La vulnérabilité permettant des attaques d’homme du milieu porte sur un service web accessible sur seagateshare.com. Ce service permet de gérer à distance le produit et de télécharger des fichiers sur le cloud. Il est consulté en utilisant le nom de l'appareil, un nom d'utilisateur et un mot de passe. Un serveur HTTP installé sur le microprogramme GoFlex réalise ensuite une redirection de port sur le routeur de l'utilisateur. 

Un chercheur en sécurité a signalé en Septembre dernier que le serveur embarqué et le service seagateshare utilisent les protocoles d’échanges SSLv2 et SSLv3. Ces protocoles sont obsolètes et connus pour être vulnérables aux attaques d’homme du milieu, notamment via les méthodes DROWN et POODLE.

Le chercheur a identifié plus de 30 000 appareils Seagate (hébergés sur des adresses IP uniques) utilisant ces protocoles. Il a également remarqué que le nom unique de chaque périphérique (device_id) n'est pas difficile à deviner. En effet il a réussi à collecter plus de 17 000 ID d'appareil uniques.

La faille de type XSS affectant le site seagateshare.com a été détectée par le chercheur. Elle permettrait à un attaquant d’exécuter du code malveillant dans le contexte de la session de navigation d'un utilisateur en demandant à la victime de cliquer sur un lien spécialement conçu.

Les vulnérabilités d’injection de commandes et de suppression des fichiers affectent l’application Seagate Media Server du produit Personal Cloud NAS. Cette application permet un accès simple aux données média disponibles sur l’équipement. La vulnérabilité autoriserait un attaquant à exécuter à distance des commandes arbitraires en mode administrateur.