来自VerSprite的安全研究人员近日监测到西数My Cloud个人云存储硬盘设备包含两个安全漏洞,允许使用某个版本Debian Linux的攻击者通过一个Web访问UI和一个RESTful API与硬盘发生联系,从而会给不法分子提供两种攻击方式:通过命令注入,或是通过跨站请求伪造(CSRF)攻击漏洞。
西数My Cloud个人云存储硬盘允许用户将该硬盘放在家中,通过本地局域网对设备进行访问;或者在其他位置通过互联网对硬盘内容进行访问。这个原理和目前所有公共云存储相同,只不过西数My Cloud只属于你个人。
攻击者可以利用第一个漏洞注入多行命令,以获取设备Root权限。第二个漏洞可通过该设备的Web应用进行利用,尽管该设备在没有接入互联网时很难被利用,但研究人员称,使用社会工程学方法以及WebRTC(网页实时通信),可以提升获取该漏洞利用权限的机会。
研究人员表示,04.01.03-421 和 04.01.04-422 版本的固件具有极高风险,西数已确认该漏洞并正在进行修复,有望在未来几天内推出修复版本。
小编推荐阅读《热血江湖手游技能加点攻略》(掌握技能加点要诀,成就无敌江湖之王)
阅读新版本赏金玩法出装攻略(全面解析最优出装方案,让你在新版本赏金玩法中独领风骚)
阅读《公主级2-6攻略技能大揭秘》(掌握攻略技能,成为公主级2-6的王者!)
阅读《赵云关羽出装铭文攻略视频大揭秘》(如何为赵云和关羽选择最佳装备和铭文?—MOBA游戏攻略)
阅读P5Sband攻略技能加点详解(P5Sband技能加点策略与建议)
阅读《狐狸职业比赛出装攻略男》(以狐狸为主角,揭秘职业比赛中的最佳出装策略)
阅读《钻石局炸鱼英雄出装攻略》(了解最强出装搭配,带你玩转炸鱼英雄局!)
阅读