近年來,消費者們對網路附加儲存(NAS)的興趣日漸濃厚,硬碟廠商們也順勢推出了諸多私有雲產品,但卻沒能在安全性上下足功夫。近日,外媒曝光了西部資料 My Cloud 裝置存在一個嚴重後門漏洞的訊息。別有用心的人們,可以藉此獲得聯網裝置的無限制根訪問。儘管 James Bercegay 早在 2017 年中就向廠商披露了該漏洞,但是半年過去了,西數還是沒有進行修複。
據其披露的概念驗證的完整細節,最麻煩的事情在於,My Cloud 存有一個無法更改的硬編碼後門憑證。
任何人都可以透過‘mydlinkBRionyg’這個擁有管理員許可權的使用者名稱、以及‘abc12345cba’這組密碼來登入西部資料的 My Cloud 服務。登入之後,攻擊者有大量的機會去諸如命令,從而取得毫無防備的 shell 訪問許可權。
有鑒於此,即便切斷了外網連線,西數 NAS 裝置使用者在內網中同樣危險:
只需在網站上精心設計一幅 HTML 影象和 iFrame 標記,然後使用可預測的主機名稱向本地網路的裝置發出請求。
除了引誘訪問惡意網頁之外,全程不需要使用者的任何互動。
據悉,受影響的型號極其廣泛,包括:
My Cloud Gen 2、My Cloud EX2、My Cloud EX2 Ultra、My Cloud PR2100、My Cloud PR4100、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100、以及 My Cloud DL4100 。
爆料人已經公開了一個 Metasploit 模組,因此所有人都可以輕鬆向 WD NAS 裝置發起攻擊。
最後,我們只能向所有受影響的使用者提出徹底斷網的建議,直到廠家推送安全補丁。
來源:cnBeta.COM
更多資訊
◈ 讓9億人上癮的小遊戲背後,是一個600億元的大生意
http://t.cn/RHd6yLC
◈ Chrome 正變成新 IE 6
http://t.cn/RHd6ymp
◈ 全新美國海關指導方針限制複製檔案和搜查雲資料
http://t.cn/RHd6UCQ
◈ 10 億印度個人資料網上只售 8 美元
http://t.cn/RHd6U1O
(資訊來源於網路,安華金和蒐集整理)