西部数据My Cloud私有云被曝存在远程访问后门

专题库
来源:cnBeta.com 2018-01-12 09:15:19 私有云 信息安全

核心提示近日,外媒曝光了西部数据 My Cloud 设备存在一个严重后门漏洞的消息。别有用心的人们,可以借此获得联网设备的无限制根访问。

  近年来,消费者们对网络附加存储(NAS)的兴趣日渐浓厚,硬盘厂商们也顺势推出了诸多私有云产品,但却没能在安全性上下足功夫。近日,外媒曝光了西部数据 My Cloud 设备存在一个严重后门漏洞的消息。别有用心的人们,可以借此获得联网设备的无限制根访问。尽管 James Bercegay 早在 2017 年中就向厂商披露了该漏洞,但是半年过去了,西数还是没有进行修复。

西部数据My Cloud私有云被曝存在远程访问后门

  据其披露的概念验证的完整细节,最麻烦的事情在于,My Cloud 存有一个无法更改的硬编码后门凭证。

  任何人都可以通过‘mydlinkBRionyg’这个拥有管理员权限的用户名、以及‘abc12345cba’这组密码来登录西部数据的 My Cloud 服务。

  登录之后,攻击者有大量的机会去诸如命令,从而取得毫无防备的 shell 访问权限。

  有鉴于此,即便切断了外网连接,西数 NAS 设备用户在内网中同样危险:

  只需在网站上精心设计一幅 HTML 图像和 iFrame 标记,然后使用可预测的主机名称向本地网络的设备发出请求。

  除了引诱访问恶意网页之外,全程不需要用户的任何交互。

  据悉,受影响的型号极其广泛,包括:

  My Cloud Gen 2、My Cloud EX2、My Cloud EX2 Ultra、My Cloud PR2100、My Cloud PR4100、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100、以及 My Cloud DL4100 。

  爆料人已经公开了一个 Metasploit 模块,因此所有人都可以轻松向 WD NAS 设备发起攻击。

  最后,我们只能向所有受影响的用户提出彻底断网的建议,直到厂家推送安全补丁。

责任编辑:韩希宇

收藏

  • 最新
  • 最热

    点击加载

      点击加载

      我要评论
      普通评论
      游客

      登录后参与评论

      为你推荐

        暂无相关推荐
        合作媒体

        中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 网易科技 | 中华财会网 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 外汇 | 品途网