返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
西部数据的My Cloud EX2存储设备漏洞
2018-04-28 IT运维网 / 转载

      据外媒 4 月 26 日报道,安全公司 Trustwave 的研究人员发现 ,西部数据(Western Digital:简称 WD)的 My Cloud EX2 存储设备默认情况下会在本地网络上泄漏文件,无论用户设置的权限如何。并且如果用户配置设备进行远程访问并使其联机,则情况会变得更糟。因为在这种情况下,My Cloud EX2 存储设备也会通过端口 9000 上的 HTTP 请求泄漏文件。

根据 Trustwave 发布的安全公告,My Cloud EX2 驱动器的默认配置允许任何未经身份验证的本地网络用户使用 HTTP 请求从设备获取任何文件。即使公共共享被禁用,也可以访问存储上的文件。也就是说,任何人都可以在端口 9000 上向 TMSContentDirectory / Control 发送 HTTP 请求来传递各种操作,例如浏览操作返回带有指向设备上单个文件 URL 的 XML 。

      Trustwave 研究人员表示,泄露是由于设备的 UPnP 媒体服务器在设备开机时自动启动。在默认情况下,未经身份验证的用户可以完全绕过所有者或管理员设置的任何权限或限制,从设备上获取任何文件。

      Trustwave 表示他们在 1 月 26 日就发现了这个漏洞问题,并且也报告给了西部数据公司。不过当时该公司只是建议其用户禁用 DLNA。目前 Trustwave 针对该漏洞发布了 POC, 并建议用户关闭 DLNA 以保护数据。

消息来源:Security Affairs

转自 HackerNews.cc 

相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读