安全业者再次被迫公开西部数据NAS严重级别安全漏洞
全球知名硬盘制造商西部数据旗下生产的附加网络存储设备因出现过多次严重安全问题让不少用户感到担心。
当然更应该担心的是西部数据对于安全漏洞的不管不问,每次安全业者提交漏洞后都会陷入无穷无尽的等待。
这种不管不问的态度早在去年就已经出现过,当时被发现的是西部数据附加网络存储设备存在远程后门漏洞。
安全业者再次被迫公开漏洞细节:
本次被发现的漏洞与特权提升漏洞类似,攻击者可利用漏洞绕过账户登录验证然后直接获得设备管理员权限。
由于西部数据旗下多数附加网络存储设备使用相同的固件,因此该漏洞影响的设备总量要比想象中的多得多。
研究人员在对西部数据固件进行逆向研究时发现该漏洞,最初已经在2017年4月9日 将漏洞提交给西部数据。
然而提交漏洞后西部数据至今从未回复过研究人员,也至今没有发布新版固件修复漏洞迫使漏洞再次被公开。
潜在的安全威胁:
首先在局域网中使用的西数附加网络存储可能会出现滥用,即没有账号的情况下可以访问存储的所有文件等。
但局域网中的危害远不及公网危害,如果这些设备已经连接公网那么攻击者可以通过设备名称进行批量探测。
探测到后即可利用该漏洞远程发动攻击,诸如窃取设备上存储的普通文件或机密数据甚至篡改文件的内容等。
研究人员的时间线:
漏洞被公开后西数立即回应:
在研究人员申请漏洞编号并公开漏洞后西部数据立即进行回应,回应称该公司将定期更新固件解决安全问题。
西部数据在官方博客中也承认漏洞的存在并称影响不少设备,但奈何在过去的15个月里该公司也没有去修复。
这种情况和去年西部数据NAS出现漏洞完全相同,当时也是不修复直到拖到研究人员公开漏洞才发布新固件。