来自VerSprite的安全研究人员近日监测到西数My Cloud个人云存储硬盘设备包含两个安全漏洞,允许使用某个版本Debian Linux的攻击者通过一个Web访问UI和一个RESTful API与硬盘发生联系,从而会给不法分子提供两种攻击方式:通过命令注入,或是通过跨站请求伪造(CSRF)攻击漏洞。
西数My Cloud个人云存储硬盘允许用户将该硬盘放在家中,通过本地局域网对设备进行访问;或者在其他位置通过互联网对硬盘内容进行访问。这个原理和目前所有公共云存储相同,只不过西数My Cloud只属于你个人。
攻击者可以利用第一个漏洞注入多行命令,以获取设备Root权限。第二个漏洞可通过该设备的Web应用进行利用,尽管该设备在没有接入互联网时很难被利用,但研究人员称,使用社会工程学方法以及WebRTC(网页实时通信),可以提升获取该漏洞利用权限的机会。
研究人员表示,04.01.03-421 和 04.01.04-422 版本的固件具有极高风险,西数已确认该漏洞并正在进行修复,有望在未来几天内推出修复版本。
小编推荐阅读