來自VerSprite的安全研究人員近日監(jiān)測(cè)到西數(shù)My Cloud個(gè)人云存儲(chǔ)硬盤設(shè)備包含兩個(gè)安全漏洞����,允許使用某個(gè)版本Debian Linux的攻擊者通過一個(gè)Web訪問UI和一個(gè)RESTful API與硬盤發(fā)生聯(lián)系����,從而會(huì)給不法分子提供兩種攻擊方式:通過命令注入,或是通過跨站請(qǐng)求偽造(CSRF)攻擊漏洞����。
西數(shù)My Cloud個(gè)人云存儲(chǔ)硬盤允許用戶將該硬盤放在家中,通過本地局域網(wǎng)對(duì)設(shè)備進(jìn)行訪問����;或者在其他位置通過互聯(lián)網(wǎng)對(duì)硬盤內(nèi)容進(jìn)行訪問。這個(gè)原理和目前所有公共云存儲(chǔ)相同����,只不過西數(shù)My Cloud只屬于你個(gè)人����。
攻擊者可以利用第一個(gè)漏洞注入多行命令����,以獲取設(shè)備Root權(quán)限。第二個(gè)漏洞可通過該設(shè)備的Web應(yīng)用進(jìn)行利用����,盡管該設(shè)備在沒有接入互聯(lián)網(wǎng)時(shí)很難被利用,但研究人員稱����,使用社會(huì)工程學(xué)方法以及WebRTC(網(wǎng)頁實(shí)時(shí)通信),可以提升獲取該漏洞利用權(quán)限的機(jī)會(huì)����。
研究人員表示,04.01.03-421 和 04.01.04-422 版本的固件具有極高風(fēng)險(xiǎn)����,西數(shù)已確認(rèn)該漏洞并正在進(jìn)行修復(fù),有望在未來幾天內(nèi)推出修復(fù)版本����。
小編推薦閱讀
