原标题:WD多款NAS产品遭爆有85个漏洞,全都无修补程式
图片来源:Zenofex
一名自称为Zenofex的安全研究人员在上周六(3/4) 公开了Western Digital(WD)网路附加储存装置(Networked Attached Storage,NAS)所含有的85个安全漏洞, 并释出其中48个漏洞的概念性验证攻击程式,而这些资讯, WD也是当天才知道。
相关漏洞主要位于WD的MyCloud个人NAS产品线, 总计有12个型号受到波及,涵盖My Cloud、My Cloud Gen 2、My Cloud Mirror、My Cloud PR2100、My Cloud PR4100、My Cloud EX2 Ultra、 My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100与My Cloud DL410,当中最严重的是认证绕过漏洞, 将允许骇客取得在NAS上执行程式或上传/下载档案的权限。
其实这则消息最令人震惊并非是相关的产品与漏洞, 而是Zenofex在未知会WD的情况下就公开了所有的漏洞细节 与概念性攻击程式。
Zenofex解释,按理说他们会试图与业者合作, 确保漏洞在适当时机被揭露,然而,在经历了Pwnie Awards及黑帽大会之后, 他们知道了WD于安全社群内的声誉,例如WD在Pwnie Awards上赢得了「最跛脚的供应商回应奖」(Pwnie for Lamest Vendor Response), 意指WD经常忽视安全社群所提交的臭虫的严重性。
Zenofex说,若他们採行了责任揭露却被忽视, 漏洞将会存在更长的时间,所以这次他们直接向社群揭露, 并建议使用者将受到影响的装置与公共网路隔离, 同时限制装置的存取, 并期待这样的作法能够加速业者修补装置的脚步。
示範影片:
相关:
Apache Struts2再度爆发高风险漏洞,HITCON Zeroday通报:已有台湾金融业者受骇
台湾HITCON Zeroday漏洞通报平台表示,台湾已经有使用Struts2框架的银行业者,遭到骇客大规模的IP扫描,一旦银行业者没有修补相关漏洞,骇客就可以成功入侵该银行网站并窃取相关资料、置入后门程式。 用J2EE开发框
东台董事长严瑞雄表示,第1季业绩可较去年同期成长,目前在手订单约新台币18亿元,订单能见度看到6月,今年业绩审慎乐观,酝酿调涨部分产品价格。2017年台北国际工具机展今天起到12日展出,此次展会共有国內外1100家
示意图,与新闻事件无关。 美国颇具公信力的非营利产品评鉴机构—消费者报告(Consumer Reports)周一(3/6)发表了第一版的《数位标準》(Digital Standard),準备把消费者的网路安全及隐私问题纳入未来评鉴产品
工业通讯品牌四零四科技推出符合国际标准的全系列安全连网产品,并归纳出 6大网络安全防御漏洞,提供系统管理者及专业人员,作为日常网络安全防护的监测依据。根据国际产业控制系统网络危机应对小组在2015年底公布的
北京时间2月28日,2017年GTI国际产业峰会在西班牙巴塞罗那举行,主题为“联合创新,迈向5G”。在此次峰会上,三星“GalaxyS7/S7edge”系列手机以优异的创新表现荣获GTI(全球TD-LTE倡议)组织所授予的2016年GTI创新技术