來自VerSprite的安全研究人員近日監(jiān)測到西數(shù)My Cloud個(gè)人云存儲硬盤設(shè)備包含兩個(gè)安全漏洞�,允許使用某個(gè)版本Debian Linux的攻擊者通過一個(gè)Web訪問UI和一個(gè)RESTful API與硬盤發(fā)生聯(lián)系,從而會給不法分子提供兩種攻擊方式:通過命令注入�,或是通過跨站請求偽造(CSRF)攻擊漏洞��。
西數(shù)My Cloud個(gè)人云存儲硬盤允許用戶將該硬盤放在家中����,通過本地局域網(wǎng)對設(shè)備進(jìn)行訪問;或者在其他位置通過互聯(lián)網(wǎng)對硬盤內(nèi)容進(jìn)行訪問�����。這個(gè)原理和目前所有公共云存儲相同���,只不過西數(shù)My Cloud只屬于你個(gè)人�����。
攻擊者可以利用第一個(gè)漏洞注入多行命令��,以獲取設(shè)備Root權(quán)限����。第二個(gè)漏洞可通過該設(shè)備的Web應(yīng)用進(jìn)行利用,盡管該設(shè)備在沒有接入互聯(lián)網(wǎng)時(shí)很難被利用��,但研究人員稱�,使用社會工程學(xué)方法以及WebRTC(網(wǎng)頁實(shí)時(shí)通信),可以提升獲取該漏洞利用權(quán)限的機(jī)會�。
研究人員表示,04.01.03-421 和 04.01.04-422 版本的固件具有極高風(fēng)險(xiǎn)����,西數(shù)已確認(rèn)該漏洞并正在進(jìn)行修復(fù),有望在未來幾天內(nèi)推出修復(fù)版本���。
小編推薦閱讀
