來自VerSprite的安全研究人員近日監(jiān)測(cè)到西數(shù)My Cloud個(gè)人云存儲(chǔ)硬盤設(shè)備包含兩個(gè)安全漏洞,允許使用某個(gè)版本Debian Linux的攻擊者通過一個(gè)Web訪問UI和一個(gè)RESTful API與硬盤發(fā)生聯(lián)系,從而會(huì)給不法分子提供兩種攻擊方式:通過命令注入�����,或是通過跨站請(qǐng)求偽造(CSRF)攻擊漏洞。
西數(shù)My Cloud個(gè)人云存儲(chǔ)硬盤允許用戶將該硬盤放在家中�����,通過本地局域網(wǎng)對(duì)設(shè)備進(jìn)行訪問��;或者在其他位置通過互聯(lián)網(wǎng)對(duì)硬盤內(nèi)容進(jìn)行訪問���。這個(gè)原理和目前所有公共云存儲(chǔ)相同�����,只不過西數(shù)My Cloud只屬于你個(gè)人��。
攻擊者可以利用第一個(gè)漏洞注入多行命令����,以獲取設(shè)備Root權(quán)限。第二個(gè)漏洞可通過該設(shè)備的Web應(yīng)用進(jìn)行利用��,盡管該設(shè)備在沒有接入互聯(lián)網(wǎng)時(shí)很難被利用����,但研究人員稱����,使用社會(huì)工程學(xué)方法以及WebRTC(網(wǎng)頁(yè)實(shí)時(shí)通信),可以提升獲取該漏洞利用權(quán)限的機(jī)會(huì)����。
研究人員表示,04.01.03-421 和 04.01.04-422 版本的固件具有極高風(fēng)險(xiǎn)��,西數(shù)已確認(rèn)該漏洞并正在進(jìn)行修復(fù)���,有望在未來幾天內(nèi)推出修復(fù)版本�。
小編推薦閱讀
