※ [本文轉錄自 Gossiping 看板 #1RfBJ9X- ]
作者: hn9480412 (ilinker) 看板: Gossiping
標題: [新聞] 研究人員踢爆WD低階NAS有身分驗證繞過漏
時間: Fri Sep 21 17:07:18 2018
知道還不補!研究人員踢爆WD低階NAS有身分驗證繞過漏洞,但WD知情一年遲遲未修
文/陳曉莉 | 2018-09-20發表
來自Securify的安全研究人員Remco Vermeulen周二(9/18)對外揭露了Western Digital
(WD)所生產的網路附加儲存裝置My Cloud含有身分驗證繞過漏洞,可讓駭客取得My
Cloud裝置的管理權限。Vermeulen在去年4月便已通知WD,卻遲遲未被修補,直到漏洞被
公布的隔天,WD才發表聲明,表示將在幾周內更新韌體。
WD My Cloud系列屬於入門級NAS裝置,Vermeulen所發現的漏洞存在於該系列所使用的韌
體,其身分驗證繞過漏洞允許未經授權的使用者建立一個連結裝置IP位址的管理員工作階
段,以執行原本需要管理權限才能執行的命令,並可完全掌控My Cloud裝置,漏洞編號為
CVE-2018-17153。
根據WD的回應,該漏洞影響11款My Cloud裝置,涵蓋My Cloud EX2、My Cloud EX4、My
Cloud EX2100、My Cloud EX4100、My Cloud EX2 Ultra、My Cloud DL2100、My Cloud
DL4100、My Cloud PR2100、My Cloud PR4100、My Cloud Mirror與My Cloud Mirror
Gen 2。
WD說明,駭客要開採此一漏洞必須先進入My Cloud用戶所處的區域網路,或者是My Cloud
用戶曾變更Dashboard Cloud Access的出廠設定,開放自遠端存取該裝置。
Vermeulen不但公布了漏洞細節,還釋出概念性驗證程式。他是在去年4月9日發現漏洞,
10日就通知了WD,一年多以來都沒有收到WD的回應,決定選擇在本周公布漏洞細節,還透
過Twitter表達他的沮喪。
WD旋即在昨天(9/19)公開回應,表示韌體更新即將於幾周內出爐,呼籲用戶應採取健全
的資料保護措施,包括密碼保護與資料備份等,亦建議用戶啟用裝置的自動更新機制以及
時更新韌體。
https://www.ithome.com.tw/news/125993
這個研究人員應該是yoyodiy吧