西部数据(WD)MyCloud网络存储设备存在本地提权漏洞

2018-02-08 17:30 标签: 网站漏洞,网络安全

  外媒2月3日消息,安全服务供应商Trustwave发现西部数码(Western Digital)MyCloud网络存储设备中的两个安全漏洞可能会被本地攻击者利用来获得NAS设备的root权限。

  据Trustwave的研究人员介绍,西部数码MyCloud的这两个缺陷一个是任意命令执行漏洞,另一个则是任意文件删除漏洞。

  任意命令执行漏洞

  该漏洞会影响公共网关接口脚本nas_sharing.cgi,从而导致本地用户可以以root身份执行shell命令。另外,研究人员还发现硬编码凭证能够允许任何用户使用用户名mydlinkB Rionyg对设备进行身份验证。

  任意的文件删除漏洞

  该漏洞也与公共网关接口脚本nas_sharing.cgi绑定,以便于攻击者获得root权限。

西部数据(WD)MyCloud网络存储设备存在本地提权漏洞

  链接这两个漏洞后,攻击者能以root身份执行shell命令:通过使用硬编码凭证登录,并以base64编码执行artist参数内传递的命令。

  目前受漏洞影响的西部数码MyCloud网络存储设备型号包括:

  My CloudGen 2、MyCloud PR2100、MyCloud PR4100、MyCloud EX2Ultra、MyCloud EX2、MyCloud EX4、MyCloud EX2100、MyCloud EX4100、MyCloud DL2100和MyCloud DL4100。

  其实早在去年,安全服务供应商Trustwave就已向西部数码公司报告了这些问题,并且WesternDigital方面也做出了补救措施。据悉,该公司在2017年11月16日发布的固件(版本2.30.172)更新中解决了漏洞问题。此外,WesternDigital还建议用户:

  确保产品上的固件始终处于最新状态;

  启用自动更新;

  实现良好的数据保护措施,如定期数据备份和密码保护,包括在使用个人云或网络附加存储设备时保护路由器。

  消息来源:SecurityAffairs,HackerNews.cc,封面来源于网络;

  以上为正文内容。

  网堤安全-专业的云安全解决方案综合服务商!

  转载请注明:网堤安全https://www.ddos.com

 

 

 

行业资讯 Industry Information

关于我们

About Us