WD My Cloud NAS用戶要小心了! 由研究與開發公司GulfTech的James Bercegay發現,某些型號的WD My Cloud NAS產品有寫死的後門,任何人都能使用帳號mydlinkBRionyg以及密碼abc12345cba登入有後門漏洞的產品,使用者應儘速更新裝置韌體。
受影響的產品型號有MyCloud、MyCloudMirror、My Cloud Gen 2、My Cloud PR2100、My Cloud PR4100、My Cloud EX2 Ultra、My Cloud EX2、My Cloud EX4、My Cloud EX2100、My Cloud EX4100、My Cloud DL2100、My Cloud DL4100,而不受影響的有MyCloud 04.X Series以及MyCloud 2.30.174。
James Bercegay指出,利用這個漏洞取得遠端殼層的Root權限並非難事,駭客只要使用一個假主機的標頭,並傳送包含文件的Post請求,並使用Filedata[0]指定檔案位置。他表示,這個漏洞非常危險能被用來作蠕蟲攻擊,即使使用者將裝置設置在區網內都沒有用,只要使用者瀏覽內嵌Iframe或是含有圖檔標籤的網站,駭客就有機會利用這個漏洞向裝置發送請求,進而控制該裝置。
而這個漏洞來自於過去WD NAS曾經一度與D-Link的Sharecenter裝置共享程式碼,因此登入帳號中才會包含dlink字樣,不過這個漏洞已經在2014年被發現而且修補。但到了2017年6月這項漏洞再次被James Bercegay回報給WD,不過一直到了2018年1月3日才被修補完成,他指出,期間歷時6個月而WD卻毫無作為。
from iThome 新聞 http://ift.tt/2AFrbqe
百家樂/線上投注 http://www.iwin9418.com
真人娛樂 |百家樂、德州撲克、麻將遊戲、21點、13支
六合彩球 | 香港六合彩、 大樂透、 威力彩、 今彩539
電子遊戲 | 水果盤 、 捕魚達人 千炮版 、 骰寶 、 輪盤
黃金期權 | 全新開放 、 股市 、 黃金 、 外幣
百鬼夜行 | 30線、4500倍、拉霸、五鬼運財
沒有留言:
張貼留言