第153期安全事件
英文标题 | My Cloud NAS Devices Vulnerable to Auth Bypass for over a Year |
中文标题 | 西部数据 My Cloud 被发现权限提升漏洞 |
作者及单位 | Ionut Ilascu |
内容概述 |
研究人员发现了西部数据 My Cloud 平台中的一个特权提升漏洞 CVE-2018-17153,攻击者可利用该漏洞通过 HTTP 请求获得对设备的管理级访问权限,从而运行命令、访问存储的数据、修改 / 复制数据以及擦除 NAS。对 My Cloud 设备的身份验证过程会生成绑定到用户 IP 地址的服务器端会话。完成此步骤后,可以通过在 HTTP 请求中发送 cookie“username = admin”来调用经过身份验证的 CGI 模块。 一年多前,就有研究人员提出这个漏洞,但该公司拒绝承认或解决该问题。研究人员表示黑客很可能利用西部数据的 产品漏洞进行勒索活动,并建议使用 NAS 设备的用户启用自动更新并且不要直接将设备暴露在互联网上。 |
新闻链接 |
https://www.bleepingcomputer.com/news/security/my-cloud-nas-devices-vulnerable-to-auth-bypass-for-over-a-year/ |