研究人员直接公开了西数旗下多款NAS设备中的漏洞
研究人员在上周末公布了西部数据旗下的多款NAS存储设备中存在的漏洞,这些漏洞足以让设备变成肉鸡。
研究人员针对西部数据NAS产品发现多达85个高危漏洞,主要是西部数据针对个人用户的NAS存储设备。
比较尴尬的是研究人员在没有通知西部数据的情况下就已经直接公布了超过50%的漏洞细节和概念验证视频。
西部数据也在研究人员直接公布漏洞情况的时候才知道这件事,因此并没有任何安全更新可以提供给用户们。
这些漏洞中最严重的应该就是认证绕过漏洞,该漏洞允许攻击者直接获取部分西部数据NAS设备的控制权。
出于什么原因让研究人员在未通知西部数据的情况下公开漏洞细节呢?归根到底还是西数自己的问题导致的。
研究人员在事后发布声明:
按理说安全研究人员在发现安全漏洞后会与厂商联系并提供漏洞细节以便厂商发布安全更新对漏洞进行修复。
然而很多安全研究人员参与Pwnie Awards大会和黑帽安全大会后已经了解了西部数据在安全圈子里的声誉。
该公司在Pwnie Awards大会上就获得了最蹩脚的供应商回应奖,用来讽刺WD经常忽视社区提交的漏洞。
所以安全研究人员在思索再三后认为即使提交给西部数据,该公司也要拖延很久很久才会磨磨叽叽的修复。
与其这样让漏洞长时间暴露在互联网上不如直接公开漏洞迫使西部数据更改态度来对待社区提交的漏洞情况。
对于安全性问题研究人员建议:使用西部数据旗下NAS存储设备的用户最好直接将其断开网络以免受攻击。