Business Storage 2-Bay NAS ของ Seagate ผู้ให้บริการด้านอุปกรณ์จัดเก็บข้อมูลชั้นนำของโลก ถูกตรวจพบเจอช่องโหว่ Zero-day ที่ช่วยให้แฮ็คเกอร์สามารถรันโค้ดจากระยะไกล (Remote Code Execution) ได้ โดยช่องโหว่ดังกล่าวถูกค้นพบโดย OJ Reeves นักวิจัยด้านความปลอดภัยเมื่อวันอาทิตย์ที่ผ่านมา
“ผลิตภัณฑ์ในสายการผลิตนี้ที่ใช้เฟิร์มแวร์เวอร์ชัน 2014.00319 หรือต่ำกว่าถูกค้นพบว่ามีช่องโหว่หลายประการให้ผู้ไม่ประสงค์ดีสามารถรันโค้ดจากระยะไกลได้โดยใช้สิทธิ์ของ Root ได้ทันที” — OJ Reeves ให้ข้อมูล ซึ่งช่องโหว่นี้ส่งผลกระทบมากกว่า 2,500 NAS ที่ค้นพบบนอินเตอร์เน็ตผ่านทาง Shodan Search Engine
ช่องโหว่บนอุปกรณ์ NAS เหล่านั้นเกิดจากเว็บแอพพลิเคชันที่ใช้บริหารจัดการ ซึ่งเว็บแอพพลิเคชันดังกล่าวพัฒนาโดยใช้เทคโนโลยี PHP 5.2.13, CodeIgniter 2.1.0 และ Lighttpd 1.4.28 ซึ่งถูกใช้งานมาเป็นระยะเวลาหลายปี เทคโนโลยีเหล่านี้ถูกค้นพบว่ามีช่องโหว่ด้านความปลอดภัย แต่ไม่ได้รับการแก้ไขเนื่องจากเลิกใช้งานกันไปแล้ว
OJ Reeves ได้ส่งรายละเอียดเรื่องช่องโหว่พร้อมทั้งหลักฐานไปยัง Seagate ซึ่งทาง Seagate เองก็ยอมรับและยืนยันว่าจะแก้ปัญหาดังกล่าวตั้งแต่เดือนตุลาคม 2014 จนถึงวันที่ 1 มีนาคมที่ผ่านมา ยังไม่มีการออกแพทช์เพื่ออุดช่องโหว่ดังกล่าว OJ Reeves จึงตัดสินใจเปิดเผยข้อมูลสู่สาธารณะ พร้อมแนบลิงค์ Metasploit Module และ Python Script สำหรับใช้เจาะช่องโหว่

“ในขณะที่เขียนบทความช่องโหว่อยู่นี้ ยังไม่มีเฟิร์มแวร์เวอร์ชันใหม่ที่แก้ไขปัญหาดังกล่าว จึงแนะนำให้ผู้ที่ใช้ผลิตภัณฑ์ Seagate Business NAS หลีกเลี่ยงการเชื่อมต่อกับอินเตอร์เน็ต และสำหรับการใช้งานภายใน ควรติดตั้งอุปกรณ์ไว้หลังไฟร์วอลล์ และกำหนดสิทธิ์การเข้าถึงอุปกรณ์ดังกล่าวไว้เฉพาะหมายเลข IP ที่สมควรใช้งานเท่านั้น” — OJ Reeves ให้คำแนะนำ
รายละเอียดเพิ่มเติม: https://beyondbinary.io/advisory/seagate-nas-rce/