西部資料(WD)My Cloud 網路儲存裝置存在本地提權漏洞
安全服務供應商 Trustwave 發現西部數碼( Western Digital ) My Cloud網路儲存裝置中的兩個安全漏洞可能會被本地攻擊者利用來獲得 NAS 裝置的 root 許可權。
據 Trustwave 的研究人員介紹, 西部數碼 My Cloud 的這兩個缺陷一個是任意命令執行漏洞,另一個則是任意檔案刪除漏洞。
任意命令執行漏洞
該漏洞會影響公共閘道器介面指令碼 “ nas_sharing.cgi ”,從而導致本地使用者可以以 root 身份執行 shell 命令。另外,研究人員還發現硬編碼憑證能夠允許任何使用者使用使用者名稱“ mydlinkBRionyg ” 對裝置進行身份驗證。
任意的檔案刪除漏洞
該漏洞也與公共閘道器介面指令碼 “ nas_sharing.cgi ” 繫結,以便於攻擊者獲得 root 許可權。
連結這兩個漏洞後,攻擊者能以 root 身份執行 shell 命令:通過使用硬編碼憑證登入,並以 base64 編碼執行 “ artist ”引數內傳遞的命令 。
目前受漏洞影響的 西部數碼My Cloud 網路儲存裝置型號包括:
My Cloud Gen 2、My Cloud PR2100、My Cloud PR4100、My Cloud EX2 Ultra、My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100 和 My Cloud DL4100。
其實早在去年,安全服務供應商 Trustwave 就已向西部數碼公司報告了這些問題,並且 Western Digital 方面也做出了補救措施。據悉,該公司在 2017 年 11 月 16 日釋出的韌體(版本 2.30.172 )更新中解決了漏洞問題。此外,Western Digital 還建議使用者:
— 確保產品上的韌體始終處於最新狀態;
— 啟用自動更新;
— 實現良好的資料保護措施,如定期資料備份和密碼保護,包括在使用個人雲或網路附加儲存裝置時保護路由器。
來源:hackernews
相關文章
- 西部資料(WD)的 My Cloud EX2 儲存裝置預設配置洩露檔案資訊Cloud
- 儘快升級!西部資料將結束對舊版My Cloud OS的支援Cloud
- Android從外部儲存裝置中儲存和載入本地檔案Android
- flutter本地資料儲存 sqfliteFlutter
- 微信資料夾儲存在什麼位置?如何修改儲存路徑
- 【伺服器儲存裝置資料恢復】EMC儲存裝置POOL上的資料卷被刪除的資料恢復案例伺服器資料恢復
- 重要預警 | Ubuntu 16.04 4.4 系列核心本地提權漏洞Ubuntu
- unity3d 本地資料儲存Unity3D
- 警惕!iOS與macOS裝置仍然存在WebKit漏洞!iOSMacWebKit
- 各家儲存在OS的裝置名稱 ?
- Potato家族本地提權分析
- [乾貨]資料互動與本地儲存
- 【儲存】裸裝置和OracleOracle
- 網路攝像頭路由器存漏洞使用智慧裝置需注意安全路由器
- 本地儲存
- 本地儲存VS雲端儲存:區別不只是資料存放位置
- 最新發現!Windows 11也受本地提權漏洞HiveNightmare影響WindowsHive
- 紫光西部資料助力中信建投證券實現海量資料儲存創新
- 將圖片儲存在本地沙盒路徑下
- Android下載網路pdf檔案儲存至本地Android
- Android儲存(3)– 裝置配置Android
- 資料庫儲存生僻字存在的問題資料庫
- Windows PrintDemon提權漏洞分析Windows
- spring cloud config將配置儲存在資料庫中SpringCloud資料庫
- 資料庫許可權-儲存過程資料庫儲存過程
- 網路裝置
- 區域儲存網路(SAN)與 網路直接儲存(NAS)
- UI-senior(資料本地化-如何儲存圖片到本地)UI
- 儲存裝置許可權不對導致crs啟動出錯
- 為全場景應用打Call,西部資料的新儲存平衡術
- MOSAD_HW3 網路訪問和本地儲存
- JavaScript 本地儲存JavaScript
- web本地儲存Web
- angular 本地儲存Angular
- win10禁用所有usb儲存裝置方法 win10如何禁止使用usb儲存裝置Win10
- 谷歌以54億美元收購網路安全公司、數百萬惠普裝置存在高危漏洞|3月10日全球網路安全熱點谷歌
- 將網頁內容以圖片形式儲存在本地網頁
- 【伺服器資料恢復】某品牌V7000儲存裝置資料恢復案例伺服器資料恢復