圖片來源: 

Rick Ramgattie

聯想(Lenovo)於上個月修補了20款網路附加儲存(Network Attached Storage,NAS)裝置的9個安全漏洞,而揭露相關漏洞的Independent Security Evaluators(ISE)安全分析師Rick Ramgattie則在本周公布漏洞細節

這9個安全漏洞的編號分別是CVE-2018-9074、CVE-2018-9075、CVE-2018-9076、CVE-2018-9077、CVE-2018-9078、CVE-2018-9079、CVE-2018-9080、CVE-2018-9081與CVE-2018-9082,它們存在於Iomega及LenovoEMC品牌NAS產品的網路介面上,多屬權限擴張漏洞。

根據聯想的說法,經過身分驗證的使用者可串連其中的某些漏洞來擴張權限,駭客也可引誘NAS用戶點選連結,以執行惡意的JavaScript並竊取其憑證。

Ramgattie描述了可能的攻擊場景,指出駭客可先建立一個惡意網站並引誘NAS用戶造訪,藉由其網頁介面的跨站指令碼(Cross Site Scripting,XSS)漏洞汲取瀏覽器所存放的資訊,取得NAS裝置的IP位址及存取憑證;繼之再發動跨站偽造請求(Cross-site Request Forgery,CSRF)攻擊,以擴張權限並執行任何命令。

有9款Iomega品牌、8款LenovoEMC品牌,以及3款Lenovo品牌的NAS裝置受到波及。聯想已於上個月更新了相關裝置的韌體,建議採用4.1.402.34662或之前版本的NAS裝置用戶儘速更新,若未能及時更新也應關閉這些裝置的公開分享功能,只於信任的網路中使用這些裝置,同時避免點選可疑網址。

 

熱門新聞


Advertisement