西部數據My Cloud EX2被曝安全漏洞 會泄露用戶數據

近日，Trustwave的安全專家發現，默認情況下，西部數據的My Cloud EX2存儲設備誒會在本地網路泄露文件。如果用戶配置設備進行遠程訪問並使其聯機，則情況會變得更糟糕。在這種情況下，My Cloud EX2存儲設備也會通過埠9000上的HTTP請求泄露文件。

「不幸的是，最新的My Cloud EX2驅動的錯誤配置允許任何非授權本地網路用戶利用HTTP請求從設備中獲取文件，」 Trustwave公司表示。

「即使是公共共享被禁用，也可以訪問存儲上的文件。具體說來，任何人都可以在埠9000上向TMSContentDirectory / Control發送HTTP請求，行駛各種操作。瀏覽操作返回XML，並將URL指向設備上的單個文件。」

根據專家表示，該問題與設備開機時自動啟動的嵌入式UPnP媒體伺服器相關聯。

「默認情況下，未經身份驗證的用戶可以安全繞過設備所有者或管理員設置的任何許可權，從設備中抓取任何文件，」Trustwave說。

Trustwave公司首次公布它們的發現是在1月26日。

該公司向西部數據報告了漏洞問題，最初低估了它們，並且只建議用戶禁用DLNA。

Trustwave為這些漏洞發布了一個Proof-of-Concept代碼，攻擊場景看到攻擊者向埠9000發出HTTP請求，要求提供「TMSContentDirectory / Control」資源，UPnP伺服器會在存儲上的文件列表請求響應。然後，攻擊者使用後續的HTTP請求，使用收集的響應的URL從存儲中獲取文件。

「無論你是否可以在My Cloud EX2上設置許可權和憑證，確保你孩子的照片唄鎖定，並且只有通過設備實際身份驗證的人才可以使用。通過了解流量如何與My Cloud(EX2)設備配合使用，無論許可權如何，你都可以實際獲取設備中的任何文件。」Trustwave繼續說道。

今年2月，Trustwave的研究人員透露了西部數據My Cloud中的另外兩個漏洞，可能會被本地攻擊者利用，獲得對NAS設備的根訪問許可權。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！