西部数据(Western Digital)的MyCloud系列近日被曝出了RCE 漏洞,由于西部数据公司在2015年停止支持的一条产品线存在漏洞,以及此前未知的零日漏洞,过去一个月里,无数客户的MyBook Live网络存储驱动器被远程删除。但是,Western DigitalMyCloud的更大范围的更新网络存储设备也存在类似的严重零日漏洞。对于许多无法或不愿升级到最新OS的客户来说,这个漏洞仍然没有得到解决。
问题出在所有运行MyCloud OS 3的Western Digital网络附加存储(NAS)设备上的远程代码执行漏洞,该OS是该公司最近才停止支持的。
研究人员Radek Domanski和Pedro Ribeiro原本计划在去年东京Pwn2Own黑客大赛上展示他们的发现。但就在发布会前几天,Western Digital发布了MyCloud OS 5,排除了他们发现的漏洞。该更新有效地使他们丧失了在 Pwn2Own 中竞争的机会,因为这次大赛需要针对目标设备支持的最新固件或软件进行攻击。
尽管如此,在 2021 年 2 月,两人还是发布了这段详细的 YouTube 视频,其中记录了他们如何发现一系列漏洞,这些漏洞允许攻击者使用一个空白的低权限用户帐户密码通过恶意后门远程更新易受攻击设备的固件。
研究人员表示,西部数据从未对他们的报告做出回应。在向KrebsOnSecurity提供的一份声明中,Western Digital表示,他们在Pwn2Own Tokyo 2020之后收到了他们的报告,但当时他们报告的漏洞已经在My Cloud OS 5发布后得到了修复。
西部数据表示:
最低0.47元/天 解锁文章
扫一扫
4499
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
