Seagate
Seagate Media Server ir UPnp / DLNA tīkla pievienots krātuves mehānisms, kas iekļauts Seagate Personal Cloud individuālā līmeņa lietošanai. IoT drošības kļūdu medību vietnes Summer of Pwnage padomdevējā tika atklātas un apspriestas vairākas SQL injicēšanas ievainojamības Seagate Media Server, riskējot iegūt un modificēt multivides servera izmantotajā datu bāzē glabātos personas datus.
Seagate Personal Cloud ir mākoņu krātuve, kas tiek izmantota fotoattēlu, videoklipu un cita veida multivides uzglabāšanai tās multivides serverī. Tā kā personas dati tiek augšupielādēti šajā mākonī, tie tiek aizsargāti ar autorizācijas pārbaudēm un paroļu drošību, taču tā izkārtojuma ietvaros pastāv publiska mape, kurā nesankcionētiem lietotājiem ir tiesības augšupielādēt datus un failus.
Saskaņā ar konsultatīvs , ļaunprātīgi uzbrucēji var ļaunprātīgi izmantot šo publisko mapju iespēju, kad mākoņa mapē augšupielādē traucējošus failus un multivides failus. Pēc tam šie nesankcionēto uzbrucēju faili var rīkoties tā, kā tie ir izstrādāti, ļaujot patvaļīgi iegūt un modificēt datus multivides servera datu bāzē. Par laimi, fakts, ka Seagate Media Server izmanto atsevišķu SQLite3 datu bāzi, ierobežo šādu uzbrucēju ļaunprātīgas darbības un to, cik lielā mērā viņi var izmantot šo ievainojamību.
TO koncepta pierādījums ir pieejams kopā ar konsultāciju, kas parāda, ka multivides serverī izmantotā Django tīmekļa sistēma nodarbojas ar .psp paplašinājumiem. Visas augšupielādes, kurās ir šis paplašinājums, tiek nekavējoties novirzītas uz mākoņa daļu Seagate Media Server, izmantojot FastCGI protokolu. Šādi manipulējot ar paplašinājumiem un injicējot ļaunprātīgus failus multivides serverī, izmantojot publisko mapi, uzbrucēji varētu ļaut palaist kodu, lai izgūtu datus no servera vai precīzi modificētu jau esošo saturu.
Tika konstatēts, ka šīs SQL injicēšanas ievainojamības ietekmē Seagate Personal Cloud SRN21C programmaparatūras versijas 4.3.16.0 un 4.3.18.0. Lai gan šie bija vienīgie pārbaudītie, pārdevējs cer, ka tas var ietekmēt arī citas versijas. Lai mazinātu radītos riskus, jauna programmaparatūras versija 4.3.19.3 ir izlaists Seagate Personal Cloud, kas aizver publisko mapi un paplašinājumu novirzīšanas mehānismus, kas pieļauj šāda veida ievainojamību.
