2018年1月6日 星期六

T客邦 WD 的 My Cloud 私有雲被爆存有漏洞達半年,駭客可遠端駭入至今未修復 皇璽會 http://www.iwin688.com

D00601ac95022f9af366845f86d7d813由於越來越多家庭使用者開始使用NAS來保存重要的檔案,在家建立起自己的私有雲。除了原本的幾家NAS大廠之外,許多路由器廠商、硬碟廠商也順勢推出了私有雲的產品來搶攻這塊市場。不過,在安全方面似乎可能會讓人有點擔憂。WD的 My Cloud 就被資安專家表示,存有一個後門的漏洞。

GulfTech Research and Development的資安專家James Bercegay 在2017年的年中,就發現 My Cloud 有一個後門漏洞,任何人都可以利用"mydlinkBRionyg"這個管理員名稱,以及利用 "abc12345cba" 為密碼,登入 My Cloud 裝置。登入之後,攻擊者就可以透過界面來對該裝置進行攻擊。

就算是不連上網際網路,只將 My Cloud 放在區域網路,一樣可以利用相同的方式來攻擊這個裝置,攻擊者只需要在區域網路中利用另一台電腦,利用在網站上使用的HTML image以及iFrame tags技術,搭配已知的管理員名稱以及密碼,來向區域網路中的 My Cloud 發出訪問的請求,一樣可以存取 My Cloud 的內容。

James Bercegay 在去年年中向WD提供了這個訊息,不過至今相關的漏洞依然沒有被修補。半年之後,這個漏洞公開在公司的網站上。受影響的裝置包括有;My Cloud Gen 2、My Cloud EX2、My Cloud EX2 Ultra、My Cloud PR2100、My Cloud PR4100、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100、My Cloud DL4100。

其實在去年三月,WD的私有雲就被爆出過有多達85個漏洞,當時一名自稱Zenofex的安全研究人員公開了WD旗下NAS產品存在高達85個安全漏洞,最嚴重者可讓駭客繞過認證機制,在NAS上執行程式,或存取儲存的資料。

此外,WD在2016年度的「金駭獎」Pwnie Awards上,由於當年度被白帽駭客回報WD MyPassword 存有加密漏洞問題,而WD收到這個漏洞回報的回應是「再觀察一下」就沒有下文,獲得了「最跛腳的廠商反應獎」(Pwnie for Lamest Vendor Response)。顯示他們在產品的安全性方面,警覺性有些遲鈍。

而針對這次的漏洞問題,James Bercegay對一般的用戶提出的建議是:將手中的產品網路線拔除完全斷網,等待廠商提供安全更新。

相關新聞:techspotithome



from T客邦 http://ift.tt/2CzQKLa










沒有留言:

張貼留言