外媒1月23日消息,安全專家發(fā)現(xiàn)超過3.3萬個希捷GoFlex家庭網(wǎng)絡(luò)存儲 ( NAS ) 設(shè)備容易暴露于公網(wǎng),或引來跨站腳本(XSS)和中間人(MitM)攻擊。雖然目前希捷已經(jīng)修補了Personal Cloud 和 GoFlex產(chǎn)品中的 XSS 漏洞,但不幸的是,仍有一些問題尚未解決。
安全專家 Sood 介紹,GoFlex 家庭 NAS 設(shè)備在 seagateshare.com 上運行了一個可訪問的 Web 服務(wù),允許用戶遠程管理設(shè)備及其內(nèi)容,并且可以通過設(shè)備名稱和登錄憑證來訪問存儲。而 GoFlex 固件則運行著一個 HTTP 服務(wù)器,要求用戶在路由器上啟用端口轉(zhuǎn)發(fā),以便連接到 web 服務(wù)。
跨站腳本(XSS)和中間人(MitM)攻擊
安全專家 Sood 注意到雖然 HTTP 服務(wù)器支持過時的協(xié)議 SSLv2 和 SSLv3, 而 Web 服務(wù) seagateshare.com 支持 SSLv3。 不過這兩種協(xié)議都能將用戶暴露給 MiTM 攻擊(包括 DROWN 和 POODLE 攻擊)。
此外,Sood 還在 seagateshare.com 網(wǎng)站上發(fā)現(xiàn)了一個 XSS,攻擊者可以利用該 XSS 在用戶的瀏覽會話中執(zhí)行惡意代碼,欺騙受害者點擊特制鏈接。
目前希捷只修復(fù)了 XSS 漏洞,似乎并沒有計劃修復(fù)與 SSLv2 和 SSLv3 相關(guān)的一些問題。
京公網(wǎng)安備 11010502049343號