2018年04月28日 星期六

西部數據的My Cloud EX2儲存設備漏洞

據外媒4月26日報導,安全公司Trustwave的研究人員發現,西部數據(Western Digital:簡稱WD)的My Cloud EX2儲存設備默認情况下會在本地網絡上洩漏檔案,無論用戶設置的許可權如何。並且如果用戶配寘設備進行遠端存取並使其聯機,則情况會變得更糟。因為在這種情況下,My Cloud EX2儲存設備也會通過埠9000上的HTTP請求洩漏檔案。

根據Trustwave發佈的安全公告,My Cloud EX2驅動器的默認配寘允許任何未經身份驗證的本地網絡用戶使用HTTP請求從設備獲取任何檔案。即使公共共亯被禁用,也可以訪問存儲上的檔案。也就是說,任何人都可以在埠9000上向TMSContentDirectory / Control發送HTTP請求來傳遞各種操作,例如瀏覽操作返回帶有指向設備上單個檔案URL的XML。

Trustwave研究人員表示,洩露是由於設備的UPnP媒體服務器在設備開機時自動啟動。在默認情况下,未經身份驗證的用戶可以完全繞過所有者或管理員設定的任何許可權或限制,從設備上獲取任何檔案。

Trustwave表示他們在1月26日就發現了這個漏洞問題,並且也報告給了西部數據公司。不過當時該公司只是建議其用戶禁用DLNA。現時Trustwave針對該漏洞發佈了POC,並建議用戶關閉DLNA以保護數據。

 

更多資訊,請查看原文:

http://www.365master.com/news/3/20180428/79917.shtml

 

2018年04月28日 星期六