西数My Cloud曝安全漏洞 攻击者可获得完整访问权限

栏目: 编程工具 · 发布时间: 6年前

内容简介:Remco Vermeulen 指出:身份验证绕过漏洞允许攻击者在登录设备之前获得管理员权限,他们只需创建反向 shell,便可访问驱动器上的用户文件。

西部数据(Western Digital)广受欢迎的 My Cloud 系列网络附加存储(NAS)设备,近日曝出了一个严重的安全漏洞,导致攻击者可以完全访问设备里的内容。荷兰安全研究员 Remco Vermeulen 刚刚分享了有关该问题的“特权提升攻击报告”,另一位同行亦表示早已披露了其它攻击的详细信息,但西数迄今未给出固件更新。

西数My Cloud曝安全漏洞 攻击者可获得完整访问权限

Remco Vermeulen 指出:身份验证绕过漏洞允许攻击者在登录设备之前获得管理员权限,他们只需创建反向 shell,便可访问驱动器上的用户文件。

西数My Cloud曝安全漏洞 攻击者可获得完整访问权限

如果设备所有者已经启用了远程访问,那么在面向互联网(Internet)的远程连接上也存在此漏洞。

西数My Cloud曝安全漏洞 攻击者可获得完整访问权限

作为一款众所周知的 NAS 设备,西部数据的 My Cloud 系列屡次因安全问题而登上报端。漏洞利用者再次证实了这一事实,称其也向西数汇报了同样的漏洞,甚至纪录了整个过程。

西数My Cloud曝安全漏洞 攻击者可获得完整访问权限

发稿前,西数工程师团队终于给出了回应,表示他们将在定期的固件更新中解决问题,并建议客户与支持团队取得联系。

WD My Cloud security flaw( via

西数在 博客文章 中披露,许多使用 Dashboard Cloud Access 的设备仍然容易受到攻击,包括 My Cloud EX2、EX4、Mirror、PR2100、PR4100 等。

[编译自: TechSpot , 来源: Securify.nl ]


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

JAVA语言规范(英文版,第3版)

JAVA语言规范(英文版,第3版)

戈斯林 / 机械工业 / 2006-4 / 79.00元

本书由“java之父”Jame Gosling 以及另外三位顶级大师撰写而成,无论是对java语言的初学者还是专业程序员都具有极高的价值,是关于java程序设计语言最权威的技术参考书。   本书侧重于java技术细节和内幕,全面,准确,详尽地介绍了java语言及其语法,论述了java编译器所要检查的语法和java运行模式的各个方面,同时还描述了java语言最重要的新特征。一起来看看 《JAVA语言规范(英文版,第3版)》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码