天极传媒:
天极网
比特网
IT专家网
52PK游戏网
极客修
全国分站

北京上海广州深港南京福建沈阳成都杭州西安长春重庆大庆合肥惠州青岛郑州泰州厦门淄博天津无锡哈尔滨

产品
  • 网页
  • 产品
  • 图片
  • 报价
  • 下载
全高清投影机 净化器 4K电视曲面电视小家电滚筒洗衣机
您现在的位置: 天极网 > 网络>头条发文>西部数据My Cloud存储设备被曝出漏洞

当心了!西部数据My Cloud存储设备被曝出漏洞

天极网网络频道 2018. 10. 12 作者:骨傲天 责编:万佳
我要吐槽

责任编辑

  【天极网网络频道】据国外多家安全媒体报道,网络设备漏洞研究团队exploitee.rs公布,西部数据My Cloud网络存储设备存在一个认证绕过漏洞(CVE-2018-17153),未授权的远程或本地网络攻击者可利用该漏洞,无需密码就能成为admin管理员身份,获取对My Cloud设备的完全控制权。

当心了!西部数据My Cloud存储设备被曝出漏洞

  据官网介绍,My Cloud可以从一个位置访问所有资料,接入自己的家用网络,即可自动备份。只要有互联网连接,你就可以随时随地共享你需要的任何内容。

  该款产品可以自动备份所有计算机上的资料,并且适用于移动设备的照片和视频备份功能。其容量从3TB到8TB,可支持Windows/Mac操作系统,配备千兆位以太网。

  然而,认证漏洞的出现,让未授权用户能创建与其IP地址相关联的管理员会话,然后进一步利用,实现管理员特权命令执行,获取对My Cloud存储设备的控制。

当心了!西部数据My Cloud存储设备被曝出漏洞

  当My Cloud设备管理员授权认证登录后,会产生一个与其IP地址关联的相应的服务端( server-side)会话,然后该会话会在HTTP请求中以发送username=admin的cookie形式去调用验证性CGI模块,接着,被调用的验证性CGI模块需要对当前与用户IP关联的会话有效性进行检查校验。

  exploitee研究人员分析,该漏洞目前可以成功在固件版本为2.30.172,型号为WDBCTL0020HWT的 My Cloud 存储设备上复现,主要影响固件版本为2.30.xxx的设备,由于 My Cloud 的多个系列设备开发代码都大同小异,因此,其它型号的设备也非常可能存在该漏洞。

当心了!西部数据My Cloud存储设备被曝出漏洞

  可能存在漏洞的型号和对应固件版本设备为:

  My Cloud FW 2.30.196

  My Cloud Mirror Gen2 FW 2.30.196

  My Cloud EX2 Ultra FW 2.30.196

  My Cloud EX2100 FW 2.30.196

  My Cloud EX4100 FW 2.30.196

  My Cloud DL2100 FW 2.30.196

  My Cloud DL4100 FW 2.30.196

  My Cloud PR2100 FW 2.30.196

  My Cloud PR4100 FW 2.30.196

  不过,该漏洞并未是首次被发现。早在2017年4月9日,安全团队exploitee.rs在Def Con上的设备漏洞集锦《All Your Things Are Belong To Us!》中披露过该漏洞,但当exploitee向西部数据反馈后,西部数据却拒绝承认和修复该漏洞。

  目前,目前有1,870个曝露互联网的西部数据My Cloud设备,其中大多数处于欧洲,而且这个数据还在不断增加。

作者:骨傲天责任编辑:万佳)
请关注天极网天极新媒体 最酷科技资讯
扫码赢大奖
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!
DIY整机企业级软件