Estas 3 vulnerabilidades críticas, podrían usarse por ejemplo para descargar el contenido del disco y subir malware para infectar el equipo de la víctima.

Los CWE o «Commun Weakness Enumaration» de cada vulnerabilidad son los siguientes.

CWE-798: Use of Hard-coded Credentials

Es posible acceder al disco con credenciales por defecto, mediante un servicio Telnet no documentado por la Seagate.

CWE-425: Direct Request (‘Forced Browsing’)

Si se usa la configuración por defecto, un atacante puede descargar sin permiso cualquier tipo de archivo desde el disco mientras tenga acceso a la señal inalámbrica del dispositivo.

CWE-434: Unrestricted Upload of File with Dangerous Type

Si se usa la configuración por defecto, un atacante puede subir sin permiso cualquier tipo de archivo a la ruta /media/sda2, espacio reservado para el directorio de archivos compartidos. También se debe tener acceso a la señal inalámbrica del dispositivo.

Todas estas vulnerabilidades afectan a los productos Seagate Wireless Plus Mobile Storage, Seagate Wireless Mobile Storage y LaCie FUEL. En sus versiones de firmware 2.2.0.005 y 2.3.0.014 liberadas en Octubre del 2014.