西数Cloud OS 3旧NAS平台亦曝出严重安全漏洞

在 6 月下旬曝出了 NAS 数据会被恶意攻击者抹除的猛料之后,KrebsOnSecurity 又介绍了在更多 WD 设备中发现的一个新漏洞。安全研究人员 Pedro Ribeiro 与 Radek Domanski 指出,问题似乎集中在 Cloud OS 3 平台、而不是新近发布的 Cloud OS 5 上。然而由于后者缺乏某些功能和特性,许多用户都宁可运行无补丁可打的旧版软件。

访问:

阿里云"88帮帮节":商业计划书、传播文案、智能记账工具免费领

访问购买页面:

西部数据自营旗舰店

0.jpg

(来自:Flashback Team / YouTube)

一方面,WD 表示不会为 Cloud OS 3 设备提供安全更新补丁。另一方面,一些用户也苦恼于无法升级至 Cloud OS 5 。

支持页面显示,Cloud OS 5 并不适用于 MyCloud EX2 / EX4、或某些版本的 My Cloud 和 My Cloud Mirror 。

1.jpg

对于这部分用户,WD 建议是换用支持新版软件的设备。或者参考去年致 Comparitech 的一份声明,直接在控制台中将远程访问功能给禁用掉。

安全研究人员指出,他们可以远程访问到一台 Cloud OS 3 设备,然后给它刷入修改后的新固件。

2.jpg

按照惯例,固件更新功能仅面向经过身份验证的用户开放,但 Flashback Team 还是成功地绕过了这一限制,原因是 NAS 上似乎有一个密码为空的用户账户。

3.jpg

借助相关漏洞,攻击者可在 NAS 上执行任意命令。或者黑客也可以利用固件更新功能,让设备直接变砖。

Exploiting & Patching a 0-Day RCE Vulnerability in a WD NAS(via

尴尬的是,尽管研究人员设法编译了一个自定义的安全补丁,但在每次重启后,用户仍需手动将之应用于设备。

对文章打分

西数Cloud OS 3旧NAS平台亦曝出严重安全漏洞

5 (56%)
已有 条意见

    最新资讯

    加载中...

    今日最热

    加载中...

    300-250.png

    热门评论

      Top 10

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan