Trois failles ouvrent les disques durs Seagate Wireless à tous les vents

Pensez à mettre à jour votre LaCie Fuel.

Seagate vient s'ajouter à la longue liste des sociétés commercialisant des produits mal sécurisés. Trois chercheurs de Tangible Security ont découvert trois belles failles dans les disques durs Seagate Wireless, qui permettent d'en prendre le contrôle pour récupérer des fichiers ou au contraire en installer sans intervention de l'utilisateur légitime.

La première faille consiste en la présence d'un accès Telnet caché, mais accessible avec des identifiants triviaux et inscrits "en dur" dans le firmware : "root" comme nom d'utilisateur et comme mot de passe. Dans leur configuration par défaut, les disques durs Seagate permettent également à un attaquant ayant obtenu l'accès au réseau du disque de télécharger n'importe quel fichier, sans authentification préalable ou encore d'écrire sur le disque n'importe quel fichier.

Les produits concernés sont les Seagate Wireless Plus Mobile Storage, Seagate Wireless Mobile Storage et les LaCie FUEL. Seagate a fort heureusement été mis au courant des problèmes en amont et propose de télécharger un nouveau firmware débuggé, le 3.4.1.105.