來自Securify的安全研究人員Remco Vermeulen周二(9/18)對外揭露了Western Digital(WD)所生產的網路附加儲存裝置My Cloud含有身分驗證繞過漏洞,可讓駭客取得My Cloud裝置的管理權限。Vermeulen在去年4月便已通知WD,卻遲遲未被修補,直到漏洞被公布的隔天,WD才發表聲明,表示將在幾周內更新韌體。

WD My Cloud系列屬於入門級NAS裝置,Vermeulen所發現的漏洞存在於該系列所使用的韌體,其身分驗證繞過漏洞允許未經授權的使用者建立一個連結裝置IP位址的管理員工作階段,以執行原本需要管理權限才能執行的命令,並可完全掌控My Cloud裝置,漏洞編號為CVE-2018-17153。

根據WD的回應,該漏洞影響11款My Cloud裝置,涵蓋My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud EX2 Ultra、My Cloud DL2100、My Cloud DL4100、My Cloud PR2100、My Cloud PR4100、My Cloud Mirror與My Cloud Mirror Gen 2。

WD說明,駭客要開採此一漏洞必須先進入My Cloud用戶所處的區域網路,或者是My Cloud用戶曾變更Dashboard Cloud Access的出廠設定,開放自遠端存取該裝置。

Vermeulen不但公布了漏洞細節,還釋出概念性驗證程式。他是在去年4月9日發現漏洞,10日就通知了WD,一年多以來都沒有收到WD的回應,決定選擇在本周公布漏洞細節,還透過Twitter表達他的沮喪

WD旋即在昨天(9/19)公開回應,表示韌體更新即將於幾周內出爐,呼籲用戶應採取健全的資料保護措施,包括密碼保護與資料備份等,亦建議用戶啟用裝置的自動更新機制以及時更新韌體。


熱門新聞

Advertisement