西部数据My Cloud NAS设备存在高危漏洞,攻击者可获得完全控制权

本文涉及的产品
文件存储 NAS,50GB 3个月
简介: 本文讲的是西部数据My Cloud NAS设备存在高危漏洞,攻击者可获得完全控制权,万物互联的时代,没有哪家企业敢保证自家设备坚不可摧,安全无患。用户显然也较为无奈地接受科技进步带来的“反噬”,享受便利的同时也时刻做好付出代价的准备。而此次中招的正是——西部数据My Cloud系列NAS设备。
本文讲的是 西部数据My Cloud NAS设备存在高危漏洞,攻击者可获得完全控制权万物互联的时代,没有哪家企业敢保证自家设备坚不可摧,安全无患。用户显然也较为无奈地接受科技进步带来的“反噬”,享受便利的同时也时刻做好付出代价的准备。而此次中招的正是——西部数据My Cloud系列NAS设备。

据外媒报道,安全研究人员在西部数据My Cloud系列NAS设备上发现了严重的漏洞,可以被攻击者利用来获取受影响设备的root权限。

近日,西部数据公司网络附加储存装置NAS的用户都受到了安全警告称,远程攻击者可以利用西部数据My Cloud系列NAS设备上的漏洞获得NAS底层操作系统的完全访问权限,进而轻松地获取My Cloud NAS里任何他所感兴趣的信息。

SCVL发布的安全公告表示,

通过结合这份安全公告中记录的漏洞,攻击者可以彻底的摧毁一个WD My Cloud设备。最坏的可能是,他们可以窃取储存在设备上的敏感数据,或是利用该受损设备作为跳板进行横向的内部攻击。安全委员会建议用户不要将WD My Cloud设备联网,直到安全专家完成彻底地安全审计并确认所有的问题已经得到解决。 

据悉,此次受影响的产品主要属于WD的My Cloud NAS产品线, 总计有12个型号受到波及,包括My Cloud、My Cloud Gen 2、My Cloud Mirror、My Cloud PR2100、My Cloud PR4100、My Cloud EX2 Ultra、 My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100以及My Cloud DL410,其中最严重的是攻击者可以触发漏洞绕过登录认证,插入命令、上传/下载未经授权的文件以及获得完全控制权,详细信息点击查看

西部数据My Cloud NAS设备存在高危漏洞,攻击者可获得完全控制权

2016年1月18日,SCVL已经将该漏洞信息报告给了西部数据,但是直到2017年3月7日才公开披露该漏洞。此外,另一组来自安全公司Exploitee.rs的专家也在近日向媒体透露,西部数据私有云似乎有着不小的安全漏洞,让多款 My Cloud 桌上型硬盘产品,被暴露在可能会被骇客攻击的危险之中。

安全专家发现的漏洞包括命令注入漏洞、基于堆栈的缓冲区溢出漏洞以及跨站点请求伪造漏洞。正如预期的那样,通过结合跨站点请求伪造漏洞和命令注入漏洞,攻击者可以获得受影响的设备root访问权限。

西部数据My Cloud NAS设备存在高危漏洞,攻击者可获得完全控制权

Exploitee.rs的研究人员表示,早在去年12月,其公司的安全专家Steve Campbell就在西部数据MyCloud NAS设备中发现了两个命令注入漏洞——CVE-2016-10107以及CVE-2016-10108。需要一提的是,西部数据也有对这些漏洞做出固件更新,只可惜关了一个门却又开了另一条路给了这些黑客,并没有真正地解决此问题,还引发了一个新的登录绕过漏洞。

其实,西部数据在安全社区内的名声一直不是太好,早在2015 年 9 月,其已经暴露出过漏洞安全问题,当时来自 VerSprite 的安全研究人员发现西数 My Cloud 个人云存储硬盘设备包含两个安全漏洞,允许使用某个版本 Debian Linux 的攻击者通过一个 Web 访问 UI 和一个 RESTful API 与硬盘发生联系,从而会给不法分子提供两种攻击方式:通过命令注入,或是通过跨站请求伪造(CSRF)攻击漏洞。不过,之后西部数据已经修复了这个漏洞。

而在去年的黑帽大会上,西部数据还赢得了“最迟钝的供货商回应奖”,主要因素不光是其NAS系统的薄弱,对于系统中这些漏洞的对策提供,西数的响应也是很迟钝且无力的——就比如这次的曝光,西数发布了一个补丁来修复绕过登录问题,结果却又引入了一个新的漏洞。

目前,Exploitee.rs安全团队已经在西部数据My Cloud NAS设备中发现了85个安全问题,但是截至发稿前,西部数据尚未提供任何有关软件更新和漏洞修复的信息。

看来,凡是与网络相关的东西都不可能保证绝对的安全,要想绝对安全,对于重要资料,还是不要连接互联网了吧。方便与便捷就如同鱼与熊掌不可兼得。




原文发布时间为:2017年3月10日
本文作者:小二郎 
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。

相关实践学习
基于ECS和NAS搭建个人网盘
本场景主要介绍如何基于ECS和NAS快速搭建个人网盘。
阿里云文件存储 NAS 使用教程
阿里云文件存储(Network Attached Storage,简称NAS)是面向阿里云ECS实例、HPC和Docker的文件存储服务,提供标准的文件访问协议,用户无需对现有应用做任何修改,即可使用具备无限容量及性能扩展、单一命名空间、多共享、高可靠和高可用等特性的分布式文件系统。 产品详情:https://www.aliyun.com/product/nas
目录
相关文章
|
6月前
|
存储 编解码 监控
NAS设备推荐品牌?
【6月更文挑战第30天】NAS设备推荐品牌?
161 60
|
存储 文件存储
NAS存储设备
本报告研究全球与中国市场NAS存储设备的产能、产量、销量、销售额、价格及未来趋势。重点分析全球与中国市场的主要厂商产品特点、产品规格、价格、销量、销售收入及全球和中国市场主要生产商的市场份额
|
存储 运维 监控
阿里云的文件存储NAS使用心得
阿里云的文件存储NAS使用心得
382 0
|
运维 文件存储 对象存储
【运维知识进阶篇】用阿里云部署kod可道云网盘(配置Redis+MySQL+NAS+OSS)(三)
【运维知识进阶篇】用阿里云部署kod可道云网盘(配置Redis+MySQL+NAS+OSS)(三)
330 0
|
存储 机器学习/深度学习 弹性计算
阿里云文件存储NAS简介和购买流程
阿里云文件存储NAS是一个可共享访问,弹性扩展,高可靠,高性能的分布式文件系统。兼容POSIX文件接口,可支持上千台弹性计算ECS、容器服务ACK等计算节点共享访问,您无需修改应用程序,即可无缝迁移业务系统上云。 支持智能冷热数据分层,有效降低数据存储成本。广泛应用于企业级应用数据共享、容器、AI机器学习、Web 服务和内容管理、应用程序开发和测试、媒体和娱乐工作流、数据库备份等场景。
|
存储 运维 数据安全/隐私保护
【运维知识进阶篇】用阿里云部署kod可道云网盘(配置Redis+MySQL+NAS+OSS)(四)
【运维知识进阶篇】用阿里云部署kod可道云网盘(配置Redis+MySQL+NAS+OSS)(四)
313 0
|
存储 监控 安全
阿里云文件存储NAS(Apsara File Storage NAS)的测评体验报告
阿里云文件存储NAS(Apsara File Storage NAS)是一个弹性扩展的分布式文件系统,适用于各种企业级应用场景。本文将对其在内容管理系统和Web服务应用程序中的使用体验进行评估。
306 58

热门文章

最新文章