西部資料(WD)的 My Cloud EX2 儲存裝置預設配置洩露檔案資訊
據外媒 4 月 26 日報導,安全公司 Trustwave 的研究人員發現 ,西部資料(Western Digital:簡稱 WD)的My Cloud EX2儲存裝置預設情況下會在本地網路上洩漏檔案,無論使用者設定的許可權如何。並且如果使用者配置裝置進行遠端訪問並使其聯機,則情況會變得更糟。因為在這種情況下,My Cloud EX2 儲存裝置也會透過埠 9000 上的 HTTP 請求洩漏檔案。
根據 Trustwave 釋出的安全公告,My Cloud EX2 驅動器的預設配置允許任何未經身份驗證的本地網路使用者使用 HTTP 請求從裝置獲取任何檔案。即使公共共享被禁用,也可以訪問儲存上的檔案。也就是說,任何人都可以在埠 9000 上向 TMSContentDirectory / Control 傳送 HTTP 請求來傳遞各種操作,例如瀏覽操作返回帶有指向裝置上單個檔案 URL 的 XML 。
Trustwave 研究人員表示,洩露是由於裝置的 UPnP 媒體伺服器在裝置開機時自動啟動。在預設情況下,未經身份驗證的使用者可以完全繞過所有者或管理員設定的任何許可權或限制,從裝置上獲取任何檔案。
Trustwave 表示他們在 1 月 26 日就發現了這個漏洞問題,並且也報告給了西部資料公司。不過當時該公司只是建議其使用者禁用 DLNA。目前 Trustwave 針對該漏洞釋出了 POC, 並建議使用者關閉 DLNA 以保護資料。
來源:hackernews
相關文章
- 西部資料(WD)My Cloud 網路儲存裝置存在本地提權漏洞Cloud
- WD MYbook儲存硬碟資料恢復硬碟資料恢復
- 資料儲存--檔案儲存
- WD my passport硬碟資料恢復Passport硬碟資料恢復
- MySQL資料庫安裝,配置My.ini檔案MySql資料庫
- 儲存、檔案管理/目錄、裝置管理
- Word在Normal.dot模板檔案中儲存預設資訊ORM
- 業務中斷、資料洩露,西部資料證實系統遭到入侵
- 儘快升級!西部資料將結束對舊版My Cloud OS的支援Cloud
- Android儲存(3)– 裝置配置Android
- 建立資料庫時用裸裝置的配置檔案資料庫
- Android中的資料儲存之檔案儲存Android
- Android從外部儲存裝置中儲存和載入本地檔案Android
- 智慧穿戴資訊洩露危機 怎樣安全使用智慧裝置?
- 世界上最大的資料洩露–資訊圖
- 利用rman copy的方法實現儲存上裸裝置資料檔案的遷移ITPUB
- Mysql資料庫配置檔案(my.ini)分析MySql資料庫
- 【伺服器儲存裝置資料恢復】EMC儲存裝置POOL上的資料卷被刪除的資料恢復案例伺服器資料恢復
- IOS資料儲存之檔案沙盒儲存iOS
- Mysql資料庫優化配置檔案my.ini檔案配置解釋MySql資料庫優化
- Android裝置安全影響整個企業資料洩露Android
- 蘋果macOS“快速預覽”曝漏洞:洩露加密檔案蘋果Mac加密
- Github資料洩露事件處置常見技巧Github事件
- iPhone 解鎖裝置製造商 Grayshift 遭遇短暫的資料洩露iPhone
- 松下承認嚴重資料洩露,涉技術檔案和客戶敏感資訊
- 資訊洩露之web原始碼洩露Web原始碼
- 水煮oracle26-----oracle的儲存裝置的配置Oracle
- Paramiko SSH登入裝置儲存配置
- sublime設定儲存新檔案時的預設檔案型別(字尾名)型別
- Google下自己 看看多少資訊被洩露–資料資訊圖Go
- 資料檔案是否是smallfile型別檔案,其儲存是否達到資料檔案儲存上限,是否是多個資料檔案型別
- MySql5.7配置檔案my.ini 設定 my.ini檔案路徑MySql
- RAC歸檔配置方案:使用NFS共享儲存儲存歸檔檔案NFS
- Spring Cloud Gateway 資料庫儲存路由資訊的擴充套件方案SpringCloudGateway資料庫路由套件
- 資料儲存(歸檔解檔,沙河儲存)
- 微信儲存的檔案在哪個資料夾
- iPhone 7與iPhone 7 Plus配置資訊洩露iPhone
- 大資料資訊時代,如何防止資料洩露,大資料防洩漏解決方案大資料