來自VerSprite的安全研究人員近日監(jiān)測到西數(shù)My Cloud個人云存儲硬盤設(shè)備包含兩個安全漏洞�����,允許使用某個版本Debian Linux的攻擊者通過一個Web訪問UI和一個RESTful API與硬盤發(fā)生聯(lián)系�,從而會給不法分子提供兩種攻擊方式:通過命令注入�,或是通過跨站請求偽造(CSRF)攻擊漏洞�。
西數(shù)My Cloud個人云存儲硬盤允許用戶將該硬盤放在家中���,通過本地局域網(wǎng)對設(shè)備進行訪問���;或者在其他位置通過互聯(lián)網(wǎng)對硬盤內(nèi)容進行訪問。這個原理和目前所有公共云存儲相同���,只不過西數(shù)My Cloud只屬于你個人��。
攻擊者可以利用第一個漏洞注入多行命令���,以獲取設(shè)備Root權(quán)限。第二個漏洞可通過該設(shè)備的Web應(yīng)用進行利用��,盡管該設(shè)備在沒有接入互聯(lián)網(wǎng)時很難被利用��,但研究人員稱����,使用社會工程學(xué)方法以及WebRTC(網(wǎng)頁實時通信),可以提升獲取該漏洞利用權(quán)限的機會�����。
研究人員表示,04.01.03-421 和 04.01.04-422 版本的固件具有極高風(fēng)險���,西數(shù)已確認該漏洞并正在進行修復(fù)��,有望在未來幾天內(nèi)推出修復(fù)版本���。
小編推薦閱讀
