※ [本文转录自 Gossiping 看板 #1RfBJ9X- ]
作者: hn9480412 (ilinker) 看板: Gossiping
标题: [新闻] 研究人员踢爆WD低阶NAS有身分验证绕过漏
时间: Fri Sep 21 17:07:18 2018
知道还不补!研究人员踢爆WD低阶NAS有身分验证绕过漏洞,但WD知情一年迟迟未修
文/陈晓莉 | 2018-09-20发表
来自Securify的安全研究人员Remco Vermeulen周二(9/18)对外揭露了Western Digital
(WD)所生产的网络附加储存装置My Cloud含有身分验证绕过漏洞,可让骇客取得My
Cloud装置的管理权限。Vermeulen在去年4月便已通知WD,却迟迟未被修补,直到漏洞被
公布的隔天,WD才发表声明,表示将在几周内更新韧体。
WD My Cloud系列属于入门级NAS装置,Vermeulen所发现的漏洞存在于该系列所使用的韧
体,其身分验证绕过漏洞允许未经授权的使用者建立一个连结装置IP位址的管理员工作阶
段,以执行原本需要管理权限才能执行的命令,并可完全掌控My Cloud装置,漏洞编号为
CVE-2018-17153。
根据WD的回应,该漏洞影响11款My Cloud装置,涵盖My Cloud EX2、My Cloud EX4、My
Cloud EX2100、My Cloud EX4100、My Cloud EX2 Ultra、My Cloud DL2100、My Cloud
DL4100、My Cloud PR2100、My Cloud PR4100、My Cloud Mirror与My Cloud Mirror
Gen 2。
WD说明,骇客要开采此一漏洞必须先进入My Cloud用户所处的局域网路,或者是My Cloud
用户曾变更Dashboard Cloud Access的出厂设定,开放自远端存取该装置。
Vermeulen不但公布了漏洞细节,还释出概念性验证程式。他是在去年4月9日发现漏洞,
10日就通知了WD,一年多以来都没有收到WD的回应,决定选择在本周公布漏洞细节,还透
过Twitter表达他的沮丧。
WD旋即在昨天(9/19)公开回应,表示韧体更新即将于几周内出炉,呼吁用户应采取健全
的资料保护措施,包括密码保护与资料备份等,亦建议用户启用装置的自动更新机制以及
时更新韧体。
https://www.ithome.com.tw/news/125993
这个研究人员应该是yoyodiy吧