原标题:知道还不补!研究人员踢爆WD低阶NAS有身份验证绕过漏洞,但WD知情一年迟迟未修
来自Securify的安全研究人员Remco△Vermeulen周二(9/18)对外揭露了Western△Digital(WD)所生产的网络附加储存装置My△Cloud含有身份验证绕过漏洞,可让骇客取得My△Cloud装置的管理权限。Vermeulen在去年4月便已通知WD,却迟迟未被修补,直到漏洞被公布的隔天,WD才发表声明,表示将在几周内更新韧体。
WD△My△Cloud系列属于入门级NAS装置,Vermeulen所发现的漏洞存在于该系列所使用的韧体,其身份验证绕过漏洞允许未经授权的使用者建立一个连结装置IP位址的管理员工作阶段,以执行原本需要管理权限才能执行的命令,并可完全掌控My△Cloud装置,漏洞编号为CVE-2018-17153。
根据WD的回应,该漏洞影响11款My△Cloud装置,涵盖My△Cloud△EX2、My△Cloud△EX4、My△Cloud△EX2100、My△Cloud△EX4100、My△Cloud△EX2 Ultra、My△Cloud△DL2100、My△Cloud△DL4100、My△Cloud△PR2100、My△Cloud△PR4100、My△Cloud△Mirror与My△Cloud△Mirror△Gen△2。
WD说明,骇客要开采此一漏洞必须先进入My△Cloud用户所处的区域网络,或者是My△Cloud用户曾变更Dashboard△Cloud△Access的出厂设定,开放自远端存取该装置。
Vermeulen不但公布了漏洞细节,还释出概念性验证程式。他是在去年4月9日发现漏洞,10日就通知了WD,一年多以来都没有收到WD的回应,决定选择在本周公布漏洞细节,还通过Twitter表达他的沮丧。
WD旋即在昨天(9/19)公开回应,表示韧体更新即将于几周内出炉,呼吁用户应采取健全的资料保护措施,包括密码保护与资料备份等,也建议用户启用装置的自动更新机制以及时更新韧体。
相关:
Google推出容器储存库漏洞扫描服务,加强公有云容器环境安全
图片来源: Google 当容器技术已普遍落地在各大型公有云服务商后,其安全性也成为企业能否导入正式环境的关键点。在近日,Google宣布,自家公有云推出容器储存库漏洞扫描Beta版服务,可以提早在CI/CD阶段中,扫描映像
利益的驱使下总是能发生很多事情,就有人为了牟利而不惜走上犯罪的道路,往往这些人也是怀有侥幸的心理的,就有程序员发现后台漏洞,结果盗30万蛋糕券打折卖,牟利18万元,这具体是怎么回事呢?程序员盗30万蛋糕券据
新加坡举办第三届网络安全周,由副总理张志贤开幕致词,强调资安防御、创新以及伙伴关系的重要性,并于年底举办政府级的漏洞奖励计划。 图片来源: 黄彦棻摄 第三届新加坡国际网络安全周(Singapore△International
苹果于周一(9/17)释出iOS△12正式版,该版本有新的扩充实境(AR)体验、动态表情符号(Memoji)、荧幕使用时间(Screen△Time)、Siri捷径(Siri△Shortcuts),也大幅改善装置效能,以及修补了16个安全漏洞。该版
资安业者Tenable于周一(9/17)揭露,台湾监视器解决方案暨装置制造商京晨科技(NUUO)所生产的网络监控主机NVRMini2(NVR+NAS)含有两个安全漏洞,其中一个将允许骇客执行远端程式并掌控装置,由于还有其他第三方装