西部数据(wd)my cloud 网络存储设备存在本地提权漏洞
2018-02-06 11:18:03
外媒 2 月 3 日消息,安全服务供应商 trustwave 发现西部数码( western digital )网络存储设备中的两个安全漏洞可能会被本地攻击者利用来获得 nas 设备的 root 权限。
据 trustwave 的研究人员介绍, 西部数码 my cloud 的这两个缺陷一个是任意命令执行漏洞,另一个则是任意文件删除漏洞。
任意命令执行漏洞
该漏洞会影响公共网关接口脚本 “ nas_sharing.cgi ”,从而导致本地用户可以以 root 身份执行 shell 命令。另外,研究人员还发现硬编码凭证能够允许任何用户使用用户名“ mydlinkbrionyg ” 对设备进行身份验证。
任意的文件删除漏洞
该漏洞也与公共网关接口脚本 “ nas_sharing.cgi ” 绑定,以便于攻击者获得 root 权限。
链接这两个漏洞后,攻击者能以 root 身份执行 shell 命令:通过使用硬编码凭证登录,并以 base64 编码执行 “ artist ”参数内传递的命令 。
目前受漏洞影响的 西部数码my cloud 网络存储设备型号包括:
my cloud gen 2、my cloud pr2100、my cloud pr4100、my cloud ex2 ultra、my cloud ex2、my cloud ex4、my cloud ex2100、my cloud ex4100、my cloud dl2100 和 my cloud dl4100。
其实早在去年,安全服务供应商 trustwave 就已向西部数码公司报告了这些问题,并且 western digital 方面也做出了补救措施。据悉,该公司在 2017 年 11 月 16 日发布的固件(版本 2.30.172 )更新中解决了漏洞问题。此外,western digital 还建议用户:
— 确保产品上的固件始终处于最新状态;
— 启用自动更新;
— 实现良好的数据保护措施,如定期数据备份和密码保护,包括在使用个人云或网络附加存储设备时保护路由器。
消息来源:,编译:榆榆,校审:fox;
本文由 编译整理,封面来源于网络;【转自】
本站系本网编辑转载,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、凯发娱乐的版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容![声明]本站文章凯发娱乐的版权归原作者所有 内容为作者个人观点 本站只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权
官方微信