來自VerSprite的安全研究人員近日監測到西數My Cloud個人云存儲硬盤設備包含兩個安全漏洞,允許使用某個版本Debian Linux的攻擊者通過一個Web訪問UI和一個RESTful API與硬盤發生聯系,從而會給不法分子提供兩種攻擊方式:通過命令注入,或是通過跨站請求偽造(CSRF)攻擊漏洞。
西數My Cloud個人云存儲硬盤允許用戶將該硬盤放在家中,通過本地局域網對設備進行訪問;或者在其他位置通過互聯網對硬盤內容進行訪問。這個原理和目前所有公共云存儲相同,只不過西數My Cloud只屬于你個人。
攻擊者可以利用第一個漏洞注入多行命令,以獲取設備Root權限。第二個漏洞可通過該設備的Web應用進行利用,盡管該設備在沒有接入互聯網時很難被利用,但研究人員稱,使用社會工程學方法以及WebRTC(網頁實時通信),可以提升獲取該漏洞利用權限的機會。
研究人員表示,04.01.03-421 和 04.01.04-422 版本的固件具有極高風險,西數已確認該漏洞并正在進行修復,有望在未來幾天內推出修復版本。
京公網安備 11010502049343號