LG網路存儲產品曝高危漏洞 允許黑客訪問並篡改所有數據

「用指尖改變世界」

如果你已經安裝了由LG公司製造的NAS（Network Attached Storage）網路存儲設備，那麼你應該立即關閉它並閱讀本文，然後採取適當措施來保護你的敏感數據。

隱私倡導公司VPN Mentor在本周三透露，他們的研究人員在多個LG NAS設備中發現了一個尚未被修補的關鍵遠程命令執行漏洞，可能會危及到存儲在其中的用戶數據。

值得注意的是，該公司在上個月還發現了存在於HotSpot Shield、PureVPN和Zenmate三款流行VPN應用程序中的安全漏洞，這些漏洞會泄露用戶的真實IP地址和其他敏感數據，而受影響的用戶可能超過數百萬。

LG NAS設備是連接到網路的專用文件存儲單元，允許用戶使用多台計算機來存儲和共享數據。對於授權用戶來說，他們還可以通過互聯網來遠程訪問這些數據。當然，需要授權意味著在沒有正確的用戶名和密碼的情況下是無法實現遠程訪問的。

VPN Mentor的研究人員表示，儘管無法通過隨意輸入的用戶名和密碼來登陸LG NAS設備，但他們發現大多數LG NAS設備中都存在一個pre-auth遠程命令注入漏洞。漏洞來源於遠程管理用戶登錄頁面的「密碼」參數的錯誤驗證方式，允許遠程攻擊者通過密碼欄位傳遞任意系統命令。

研究人員解釋說，攻擊者可以在目標設備上編寫一個簡單的持久性shell，並將其作為密碼輸入來利用此漏洞。通過使用這個shell，使得攻擊者可以輕鬆地執行更多的命令。其中一個命令便允許他們轉儲NAS設備的完整資料庫，這裡面便包含了受害者的電子郵件、用戶名和MD5散列密碼。

由於使用MD5加密散列函數保護的密碼很容易被破解，因此攻擊者可以獲得授權訪問並竊取存儲在目標設備上的敏感數據。

研究人員還提到，如果攻擊者不想花費時間來破解竊取到的MD5散列密碼，他們還可以通過運行另一個命令，新建一個用戶並將其添加到目標設備中，然後使用該憑證進行登錄以完成數據竊取。

由於LG公司尚未發布針對此漏洞的修復程序，因此我們建議LG NAS設備用戶應確保自己的設備無法通過公共互聯網訪問，並使用防火牆來對其進行保護。另外，我們還建議用戶可以通過檢查設備上的所有註冊用戶名和密碼來定期查看任何可疑活動。

本文由黑客視界綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！