聯想於本周警告,Iomega與LenovoEMC品牌的網路附加儲存(NAS)設備含有安全漏洞,將允許未經授權的使用者透過API存取NAS上的共享檔案,呼籲用戶應儘快升級韌體。

率先發現相關漏洞的是Vertical Structure,該公司有名員工去年秋天在Shodan.io上監控網路的安全性時,看到一些古怪的檔案,細究後發現只要透過一個API並傳送特製的請求,就能存取外接硬體上的資料,而不必藉由這些硬碟的網路介面存取。

Vertical Structure總計找到了多達36TB的資料,大約是300萬個檔案,有些檔案含有諸如信用卡號或金融紀錄等機密資訊,追查來源為Iomega儲存裝置。

1980年成立的Iomega為一儲存設備製造商,在2008年被EMC併購,EMC在2013年與聯想共組LenovoEMC,並由新公司接管了Iomega業務,隨後將Iomega產品線更名為LenovoEMC。

Vertical Structure先聯繫了WhiteHat Security以協助驗證該漏洞,確認漏洞的真實性之後才通報聯想。

根據聯想的說明,該漏洞同時存在於Iomega與LenovoEMC的NAS產品上,總計波及8款產品,聯想已更新相關產品的韌體,並建議若無法立即升級韌體,應先移除任何公開共享資源,並只在可靠的網路上使用相關設備。


Advertisement

更多 iThome相關內容